Playing with Networks

DE – Blog Empfehlung

2011-10-18T21:32:00.003+02:00

Da ich immer noch an meinem neuen Blog Post sitze und keinewirkliche Zeit hab ihn fertig zu schreiben gibt es heute eine kleine Empfehlungzum Lesen zwischendurch. Paul Stewart hat ein interessantes Thema aufgegriffenwas man auf jeden Fall im Hinterkopf haben sollte, beim Arbeiten mit einer ASA.

Sollte irgendjemand den Text auch in Deutsch braucheneinfach in die Comments posten ich kümmere mich dann darum.

The Woes of Using an ASA as a Default Gateway @ Packet U

EN – Blog post recommendation

2011-10-18T21:26:00.000+02:00

Since I´mstill working on my next blog post and lacking the time to finish it, I wouldlike you to have a few at this cool ASA related post at Packet University. I´ve not encountered the problem in real lifebut well you never know.

The Woes ofUsing an ASA as a Default Gateway @ Packet U

DE - Wie kommt das "?" auf den Router

2011-10-11T00:00:00.001+02:00

Da ich es ja ausgiebig in den letzten Posts zu IPv6 verwendet habe und ich auchschon einige Male gefragt wurde, Hier die Lösung zum Problem, wie kommt dasFragezeichen in die Konfig / die URL / das Passwort / den Pre-shared-key:
STRG + V und dann ?
Das war‘s, weiter gehen, hier gibt es nichts zu sehen ;)

EN - How to get a ? in your config

2011-10-11T00:00:00.000+02:00

Well since I´ve used it in my last posts about IPv6 on Cisco routers and I was asked a few times how to get a question mark into the config / url / password / pre-shared-key on your cisco device here the solution:

CRTL + V + ?

Thats it folks!

EN - HEv6 Tunnel improvements

2011-10-10T22:35:00.002+02:00

After surfing the HE forum and a few other blogs I noticed some nice improvements that i would like to share with you.

DDNS URL
Currently I´m using the inital URL from HE but it is possible to use another URL that does not leave youre password in plaintext in your config

https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID

Keep in mind that USERID is not your accountname but the ID you can find on the HE webpage. MD5PASS is your account password as MD5 hash and TUNNELID stays your asigned tunnel id.
For the ip parameter you can either choose your static IPv4 IP or AUTO for dynamic IP updates.

Another interessting option is the following command

ipv6 general-prefix HEv6 2001:470:XXXX::/48

This enables you to use the reference your prefix by calling the “name” of the prefix. The configuration of the loop 2 interface changes accordingly to:

Interface loopback 2
ipv6 address HEv6 ::1/58
ipv6 enable

Thanks to Karsten for the prefix hint on his blog. (Link)

DE - HEv6 Tunnel Verbesserungen

2011-10-10T22:30:00.000+02:00

Nachdem ich noch etwas Zeit in den Foren von HE verbrachthab und auch bei anderen Quellen mich umgesehen habe, will ich hier noch einpaar Verbesserungen einpflegen.

DDNS URL

Derzeit verwende ich die URL wie sie Initial vorgeschlagenwird, aus dem HE Forum habe ich eine neue Form der URL, die verhindert dass dasPasswort im Klartext in der Router Konfig steht.

https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID

Dabei ist zu beachten, das im Gegensatz zur original Form, ist der paramter IP mit der statischen IP oder mit AUTO für dynamische IPs zu belegen, sowie die USERID die ID und nicht der Accountname, MD5PASS das Accountpasswort als MD5 Hash und die TUNNELID wie gehabt die Tunnelid des IPv6 Tunnels ist.

Auch interessant ist die Option

Das ermöglicht das Referenzieren in der weiteren Routerkonfiguration auf diesen Präfix. Lässt sich einfacher merken und spricht sich im Zweifelsfall auch einfacher.

ipv6 general-prefix HEv6 2001:470:XXXX::/48

Daraus ergibt sich für das Loop 2 Interface folgende Config

nterface loopback 2
ipv6 address HEv6 ::1/58
ipv6 enable

Danke an Karsten bei dem ich mir das Präfix Command geliehen hab. (Link)

EN - Hurricane Electric IPv6 Tunnel with Cisco 887

2011-10-09T23:15:00.000+02:00

Asmentioned earlier I was playing with the Hurricane Electric IPv6 Tunnel setup.Now that the Tunnel is up and running I would like to share some knowledge I gainedand provide a few config sniplets.

Startingwith the registration at www.tunnelbroker.netyou can request an IPv6 Tunnel. As soon as you´ve registered you can set upyour tunnel and register for a complete network with a/48 mask. Obviously to say– I did register for the network.

You can divideconfiguring your router into 4 steps (more or less)

Tunnelcreation
ConfigureHE Tunnel update
Addthe HE Certificate
Configureand use your /48 network
testing

The defaultconfiguration of HE expects you to have a static IPv4 configured at yourrouter. Well since I’m using a home DSL connection my IP address changes every24 hours. That´s why I change the tunnel source from IP to dialer 1.

interfaceTunnel0
description Hurricane Electric IPv6 TunnelBroker
no ip address
ipv6 enable
ipv6 address 2001:470:xxxx:xxxx::2/64
tunnel source Dialer 1
tunnel destination 216.66.84.42
tunnel mode ipv6ip
ipv6 route::/0 Tunnel0

Additionalto the configuration I added this interface into the appropriate zone of theZone-Based firewall.

The nextstep for locations with changing IP addresses is to convince your router to tellHE the changing IPv4 address. Hurricane offers a default URL that you can usefor the updating process.

https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

To updateyour IP at HE, you can use the DDNS feature of the Cisco router.

ip ddnsupdate method HEv6
HTTP
add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID !update in next blog post

interval maximum 0 6 0 0
interval minimum 0 1 0 0

Every hourbut your router will update the IP at HE.

You have toupdate the configuration of your dialer interface (or the interface that isproviding your internet connection) to update HE.

Interface Dialer1
ip ddns update hostname WS-Router
ip ddns update HEv6

Next stepis to import the certificate HE is using for the tunnel broker website. Sincethis page is using a self-signed certificate the update with ddns could causeproblems if you don´t import it.

crypto pkitrustpoint HEv6
enrollment terminal pem
revocation-check none
You need toauthenticate the trustpoint using the following dialog:
#crypto pkiauthenticate HEv6

Enter thebase 64 encoded CA certificate.
End with ablank line or the word "quit" on a line by itself
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Certificatehas the following attributes:
Fingerprint MD5: 1128B641 08E7E271B2FFB7FF 91411952
Fingerprint SHA1: 9EB44F27 6BCE5EF65D9D38CC A9252276 4318075C

% Do youaccept this certificate? [yes/no]: yes
TrustpointCA certificate accepted.
%Certificate successfully imported

I exported theapplied certificate from my browser after opening the tunnelbroker page with Firefox.

The /48network HE assigned to me was subnetted and applied to my loop 2 interface tocheck if everything works fine.

Interfaceloopback 2
ipv6address 2001:470:XXXX::1/58
ipv6 enable

Last butnot least you should activate domain lookups on your router to resolve thetunnelbroker URL for ddns.

Finaltesting:

ping ipv6ipv6.google.com source loop 2
Sending 5,100-byte ICMP Echos to 2A00:1450:8004::6A, timeout is 2 seconds:
Packet sentwith a source address of 2001:470:XXX::1
!!!!!
Successrate is 100 percent (5/5), round-trip min/avg/max = 76/76/76 ms

YEAH! Everythingworked as expected great !
More to come here!

DE - Hurricane Electric IPv6 Tunnel mit Cisco 887

2011-10-09T11:30:00.000+02:00

Wie schon geschrieben hab ich mich das vergangene Wochenendemit dem IPv6 Tunnel von HE rumgeschlagen. Jetzt da er Up und Running ist willich meine Erfahrungen mal zusammenfassen und Konfigsniplets preisgeben.

Fangen wir am Anfang an, die Website ist unter www.tunnelbroker.net zu finden, die Registrierung ist quasiselbsterklärend und sollte keine Hürde darstellen. Sobald man seinen Tunnelangelegt hat kann man sich auch noch ein Netz /48 reservieren lassen, was ichnatürlich gleich gemacht hab.

Die Konfiguration erfolgt in mehreren Schritten,

Tunnel aufsetzen
HE Tunnel update
HE Zertifikat einspielen
/48 Netz verwenden
Test

Die Konfig des Tunnels geht davon aus, dass man einestatische IP hat und verwendet die IP des Browser in der initialen Konfiguration.Da wir nur einen Standard DSL am Standort haben hab ich die Statische IP durchdas Dialer Interface ersetzt, das bei uns die DSL Einwahl macht.

interface Tunnel0
   description HurricaneElectric IPv6 Tunnel Broker
   no ip address
   ipv6 enable
   ipv6 address2001:470:xxxx:xxxx::2/64
   tunnel source Dialer1
   tunnel destination216.66.84.42
   tunnel mode ipv6ip
ipv6 route ::/0 Tunnel0

Zusätzlich hab ich das Interface noch in die entsprechendeZone der Zone-Base Firewall gehängt.

Als nächstes sollte man, bei dynamische angebundenenStandorten, den Router dazu überreden, bei Zwangstrennung oder IP wechseln dieTunneldaten bei HE zu aktualisieren.

Hurricane gibt dafür eine URL vor, die man vom Router ausaufrufen kann, die URL hat folgendenSyntax:

https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

Um Hurricane zu aktualisieren sollte das DDNS feature desRouters verwendet werden:

ip ddns update method HEv6
HTTP
add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID !Update im nächsten Blogpost
interval maximum 0 60 0
interval minimum 0 10 0

Hier wird die dynamische IP meines Routers HE jede Stunde,spätestens nach 6 Stunden mitgeteilt.

Dem Dialer Interface müssen noch die DDNS Infos mitgegebenwerden, damit dieses HE aktualisiert.

Interface Dialer 1

ip ddns updatehostname WS-Router
ip ddns update HEv6

Als letztes muss noch das Zertifikat von HE hinterlegtwerden, da die Tunnelbroker Seite ein selbst signiertes Zertifikat verwendetund das zu Probleme mit dem DDNS Feature führen kann.

crypto pki trustpoint HEv6
enrollment terminalpem
revocation-check none

Danach muss der Trustpoint noch authentifiziert werden, derganze Prozess stellt sich so dar:

crypto pki authenticate HEv6

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a lineby itself
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Certificate has the following attributes:
FingerprintMD5: 1128B641 08E7E271 B2FFB7FF 91411952
FingerprintSHA1: 9EB44F27 6BCE5EF6 5D9D38CC A9252276 4318075C

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

Das eingefügte Zertifikat kann man aus den Browserexportieren, wenn man die DDNS URL manuell aufruft.

Ich habe das /48 Netz etwas gesubnettet und verwende für denTest das Loop 2 Interface um von einfach zu schauen ob wir Konnektivität haben.

Interface loopback 2
ipv6 address 2001:470:XXXX::1/58
ipv6 enable

Ach ja zu guter Letzt sofern noch nicht vorhanden, sollteDNS aktiviert sein, schon allein damit die DDNS URL von HE aufgelöst wird.

Abschließender Test:

ping ipv6 ipv6.google.com source loop 2
Sending 5, 100-byte ICMP Echos to 2A00:1450:8004::6A,timeout is 2 seconds:
Packet sent with a source address of 2001:470:XXX::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =76/76/76 ms

YEAH! Alles schick, mehr kommt hier!

EN - Cisco 887w default open ports! WTF!

2011-10-08T23:30:00.001+02:00

The lasttwo nights I was playing with the Hurricane Electric Tunnel setup for one ofour routers to get IPv6 to my lab. For some strange reason the tunnel showedthat it was up but I was unable to ping the IPv6 IP of Google.com. To trackdown the issue I used the port scan feature of HE on my public v6 and besidesthe expected port 22 for tcp the following ports showed up on my 887w: Port tcp2002, tcp 4002, tcp 6002 and tcp 9002. I tried a telnet and I was really scaredwhen my router replied with a nice telnet prompt.

I goggledfor the open ports plus cisco 887w and found the article over at www.dataprotectioncenter.com. Itlooked like the Line 2 is used to communicate between the router and thewireless controller. This controller was working like a service module in therouter.

The article provided a simple solution that I instantly applied. Whatwas the solution – put an access list on the Line 2 for IPv4 and IPv6.

I dug alittle to the bug database at cisco.com but I couldn´t find anything.

When I’m back at the office I´ll have a closerlook on this particular problem and keep you updated.

Thanks to “DidierStevens“ for figuring and sharing this issue.

DE - Cisco 887w offene Ports! WTF!

2011-10-08T23:30:00.000+02:00

Die letzten zwei Nächte haben meinem 887w Router undHurricane Electrics IPv6 Tunnel gehört. Ich wollte für mein Lab ein echtes IPv6Netz haben und habe mir daher einen HE Tunnel auf den Router konfiguriert. Alsdie Konfig durch war konnte ich leider meine Test Host ipv6.google.com nichterreichen. Da ich einen Fehler auf meiner Seite ausschließen wollte probierteich mit dem HE Tool einen Port Scan auf meine Maschine der ziemlich erfolgreichwar.

Leider erfolgreicher als erwünscht da er neben demerwarteten Port TCP 22 auch die Ports TCP 2002, TCP 4002, TCP 6002 und TCP 9002als offen anzeigte. Einen kurzen versuch via Telnet später zeigte mir, dass aufden Ports auch wirklich eine hübsche Cisco Telnet Login Aufforderung kam. WTF,wo kommt das den her, ging mir durch den Kopf.

Wie so oft wusste Google Rat und ich fand bei der Suche nach“open ports cisco 887w” eine Artikel bei www.dataprotectioncenter.com. Derlieferte eine grobe Erklärung was dort antwortet, es ist dem Artikel zufolge “Line2” die dafür genutzt wird, dass man vom Router mit dem Service Module des WirelessController kommunizieren kann. Die Lösung die der Artikel anbot ist rechteinfach – einfach eine entsprechende access-list auf die “Line 2” binden undschon ist ruhe.

Sobald ich wieder im Büro bin und etwas mehr Zeit hab schauich mir das Thema noch einmal genauer an. Im Moment mag ich nicht an dem Astsägen, auf dem ich sitze :D

Wenn ich etwas mehr weiß, melde ich mich.

Ein dickes danke an “Didier Stevens“ von dem der Artikel stammt.

Achja die Cisco BUG DB findet dazu nichts (war ja klar)

EN - What a week!

2011-10-07T23:30:00.001+02:00

First weekwith a new customer is done and it was quite nice. Quite good documented andnice topics I´m working on. Bad luck most stuff is once again CheckPoint butwell I´ve got to face it, they won´t go away, so I got to deal with them.

Anywaysince I was figuring out processes and stuff I wasn´t able to update my postshere but I think next week I´ll have a little more time for blogging.

DE - Was für eine Woche!

2011-10-07T23:30:00.000+02:00

Quasi die erste Woche beim Kunden ist um und ich muss sagenich bin positiv überrascht. Die meisten Sachen sind gut dokumentiert und / oderselbsterklärend und auch das Bereitstellen der Arbeitsmittel hat fastreibungslos funktioniert. Leider ist der Fokus auch dieses Mal wieder aufCheckPoint, aber da CheckPoint vermutlich nicht so schnell verschwindet, werdeich mich damit arrangieren (müssen).

Auf jeden Fall blieb mir nicht so viel Zeit zum bloggen, dadie meiste Zeit zum einlesen und durcharbeiten drauf gegangen ist. NächsteWoche dürfte es besser werden und dann gibt es auch wieder neue Posts.

DE – Rack Layout

2011-10-04T07:01:00.001+02:00

OK ich hab es also wieder nicht wirklich geschafft meinenZeitplan treu zu bleiben. Aber da ich mit meiner Familie meine Eltern besuchenwar hab ich das verlängerte Wochenende für mehr Zeit mit der Familie undweniger Zeit zum Lernen und Bloggen genutzt.

Wie schon im letzten Post erwähnt, hab ich es geschafft meinLab fertig zu stellen.

Anbei eine kleine Auflistung der Sachen die ich jetztverbaut hab und warum sie sich dort befinden :)

HE 1 & 2 - Patch Panels für die Büro Verkabelung – das Rackwird auch im Produktiven Netz benutzt

HE 3 - Cisco 2509 + Oktopus Kabel + AUI Konverter Der Routerarbeitet als Terminal Server für alle Lab Geräte

HE 4 - Cisco 2924 – 24 Port Fast Ethernet Switch, alsBackbone Switch übernimmt er die L2 Topologie Anbindung der ASAs

HE5 -6 Neat Patch – Kabelführungsgedönst (sehr schick)

HE7 HP ProCurve Switch (non Lab)

HE8 Cisco ASA (BLUE) –ASA OS 8.0.2

HE9 Cisco ASA (GREEN) –ASA OS 8.0.2

HE10 Cisco ASA (RED) –ASA OS 8.0.4 (wird noch angepasst)

Unter den ASAs befindet sich eine etwas ältere VostroWorkstation von Dell, die so umgebaut wurde, das sie nun als VMware Server fürdie anderen Systeme dient, sprich für ACS, IOU, GNS3 und natürlich auch für dieClient Betriebssysteme

Auf der Rückseite des Racks befindet sich eine achtfachSteckdose, mit IP Anschluss, so dass alle Geräte per Webmanagement hoch undrunter gefahren werden können.

Sobald ich Zeit hab update ich meine L1/ L2 Topologie undposte sie hier

So long

EN - Rack layout

2011-10-04T07:01:00.000+02:00

Once againI´ve been a bit lazy, we´ve been to my parents and I decided to spent more timewith my family than blogging (and learning).

But asmentioned earlier I was finally able to cable my rack.

As you cansee (hopefully) I´ve got a mixed rack. This means a small part of the stuff isused for productive networking in our office.

I will quicklyline out what I´ve used and why, starting from top.

U 1 & 2- patch panels for the office (non LAB)

U 3 - Cisco2509 + octopus cable + AUI converter – this router is used to provide consoleconnections to all lab devices

U4 - Cisco 2924– 24 Port Fast Ethernet switch, not really part of the lab the switch justprovides the L2 Structure for the ASAs

U5 -6 NeatPatch – just to keep the rack clean

U7 HP ProCurveSwitch (non Lab)

U8 CiscoASA (BLUE) – Running ASA OS 8.0.2

U9 CiscoASA (GREEN) – Running ASA OS 8.0.2

U10 CiscoASA (RED) – Running ASA OS 8.0.4 (need to fix that)

Below – notrack mounted – Dell Vostro 410 Desktop PC modified to work as VM host systemwith ACS, IOU , GNS3 and some Guest OS to work as clients.

All Labequipment is attached to an 8 port power outlet that can be managed using a webinterface to remotely reboot the stuff in case it fails.

I´ll updatethe L1 / L2 topology in the next view days and once again post it here.

So long

EN - So many things, so little time

2011-10-02T12:04:00.000+02:00

Actually I hadplanned to post a small update on my CCIE lab the last Thursday, but as usuallife or in this case the customer had another opinion about it.

As mentionedearlier I was working at a customer location to immediately fix some networkissues with HP system. After the STP problem was solved we talked a while and decidedto move to L3 meaning enabling routing and reducing the spanning tree. Since thecustomer had special demands considering network outages during business hourswe scheduled the redesign and rebuild of the network to Thursday night. Not tomention that it took the whole night after we “crashed” their router (Draytek)so hard that this stupid box didn´t knew that it had interfaces after thereboot.

At 4 in themorning everything was back up and the network was running smooth (and allswitches stayed significant below 20% CPU utilization). Next step will be replacingthe Draytek box with two Cisco routers and shifting from copper uplinks tofiber as well as implement QoS.

So I hadabout 4 hours to go back home, shower, sleep, wake up, get to the office andprepare for the next customer meeting – no time for blog post.

Anyway I managedto finally cable my CCIE Security lab rack and will post a few updates about ittonight, hopefully.

DE – viel zu viel zu tun und viel zu wenig Zeit

2011-10-02T00:30:00.000+02:00

Eigentlich wollte ich euch am vergangenen Donnerstagberichten wie toll mein CCIE Lab voranschreitet aber leider ist, wie so oft, etwas dazwischen gekommen, in diesem Fall ein Kunde.

Wie schon berichtet, habeich ja letzten wieder einmal etwas mit HP ProCurves zu tun gehabt. Der Kundehatte massive Netzwerkprobleme beklagt und wie sich herausstellte, war es unteranderem ein STP Problem, welches sich recht schnell fixen ließ. Nachdem der Fiximplementiert war haben wir noch etwas zusammen gesessen und uns dann daraufverständigt, das wir von einer flachen L2 Struktur auf eine L3 Strukturwechseln und so den Spanning Tree massive verkleinern – quasi Bonsai Spanning Tree.Da der Kunde aber den kompletten Umbau der Netztopology nicht unbedingt in die Geschäftszeitenlegen wollte, haben wir uns für die vergangene Donnerstagnacht entschieden.

Gesagt getan, die gesamte Nacht haben wir das Netz umgebautund dabei den Edge Router (einen Draytek) so sehr verwirrt, das er nach einem Rebootnicht mehr seine Interfaces gefunden hatte. Zum Glück konnten wir die Box aufWerkseinstellungen zurücksetzen und ein Backup einspielen. Gegen 4 Uhr war dasNetz dann umgestellt und schnurrte wie ein Kätzchen, Yeah! Als nächstes wirddie Draytek Box durch ein paar Cisco Router ersetzt und die Uplinks auf Fiberumgestellt. Ach ja QoS soll auch noch kommen, unter anderem.

Danach blieben mir noch gute 4 Stunden um nach Hause zukommen, zu duschen, zu schlafen, aufzustehen und ins Büro zu kommen für dennächsten Kundentermin. Sprich es blieb keine Zeit mehr für mein CCIE LAB Postübrig.

Egal, egal, egal, ich hab es am Freitag geschafft mein Racknoch fertig zu verkabeln und darüber gibt es hoffentlich heute Nacht ein Post;)

EN – HP ProCurve / Cisco Catalyst Interoperability

2011-09-28T00:10:00.004+02:00

Today I was working at a customer location playing around with some HP ProCurve switches. Usually I do configure Cisco switches, so I was happy to find this little guide about HP ProCurve and Cisco Catalyst interoperability. Quite nice if you are sure what you want to do on Cisco but are unsure what the command should look like on ProCurve.

ProCurve /Catalyst Interoperability Guide (found at www.tecnocael.it)

DE – Zusammenspiel von HP ProCurve und Cisco Catalyst

2011-09-28T00:10:00.003+02:00

Heute hatte ich das Glück bei einem Kunden mit einigen HP ProCurve Switches zu arbeiten. Da ich schon eine Weile nicht mehr mit den ProCurves zu tun hatte, ist mein Know How über den speziellen Syntax etwas eingerostet. Umso mehr hab ich mich gefreut im Netz einen kleinen Guide zu finden der im Prinzip darstellt, wie Cisco Catalyst und HP ProCurves zusammenarbeiten. Der Vorteil daran ist, dass man sehen kann wie eine Konfiguration unter Cisco als ProCurve Config aussieht.

ProCurve / Catalyst Interoperability Guide (gefunden bei www.tecnocael.it)

DE - Grundlagen schaffen

2011-09-27T07:30:00.009+02:00

Yeah, ich hab ein neues Projekt – ASA / Checkpoint in Hamburg, sprich leider weit weg von meiner Familie. Der einzige Vorteil den ich da habe, ist das ich die Abende zum Lernen nutzen kann.

Um richtig loszulegen habe ich begonnen Grundlagen zu schaffen.

Was bedeutet das genau. Ich habe einige von meinen alten MSDN CDs rausgekramt und in VMware ein paar Systeme hochgezogen.

System 1: Windows Server 2003 Inkl. AD, CA und Tardis (NTP Server/Client)
System 2: Windows Server 2003 ACS 4.2 Server, 3CDaemon
System 3+4: Windows XP, Client System für VPN usw.

Morgen werden die Systeme auf den VM Server geschoben und dann bin ich fast fertig mit der Lab Vorbereitung.

Achja kleine Anekdote am Rande, ich habe mir ja einen 2509 gekauft der als TS Server dienen soll, leider hab ich übersehen, dass das gute Stück nur 2 Serial + 1 AUI Interface hat, so dass ich jetzt noch einmal ein paar Euro für einen AUI – Ethernet Adapter nachschießen darf.

Hoffentlich mehr am Donnerstag

EN – Setting up the basics

2011-09-27T07:30:00.008+02:00

First of all yeah I´ve got a new project, mostly ASA/Checkpoint. Sadly it is in Hamburg so quite a good deal away from my family. The only thing positive about being in Hamburg is that I will have the time for some serious learning.

To do so, I´ve started today to build up some basics for the lab.

I had to dig out my old MSDN CDs and deployed a few systems in VMware.

System 1: Windows Server 2003 with Active Directory, Certificate Authority and Tardis (for NTP)
System 2: Windows Server 2003 with ACS 4.2 and 3CDaemon for Syslog
System 3 and 4: Windows XP, Client System for VPN and so on…

Hopefully I will be able to move them from my laptop to the VM Server. When this is completed, my lab is nearly ready.

I noticed today when my Terminal Server Router (2509) arrived that this box was missing an Ethernet interface. Default configuration is just 2x serial and 1x AUI interface, so I had to order an AUI to Ethernet adaptor. Bad luck!

EN – Books!

2011-09-26T00:44:00.001+02:00

Depending on your time zone Sunday has already passed and my post intentioned for Sunday is published on Monday, but well at least it is published.

As I mentioned two days ago, I really want to get into this CCIE thing and started with one important question „ what should I read?“ Cisco got a quite good answer, a book list recommended for your CCIE security studies. This list is quite scary because it would take years to read all these books.

Cisco CCIE security book list

I already own the following books.

CCIE Security v3.0 Configuration Practice Labs (eBook), 2nd Edition

Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance, 2nd Edition

The Complete Cisco VPN Configuration Guide

Routing TCP/IP, Volume I, Second Edition

The Protocols (TCP/IP Illustrated : Volume 1)

The first is he only book I bought specially for my CCIE training, the rest I own because from time to time it is nice to look something up during the job.

As soon as I add a new book I´ll publish it here and of course give some comments about the existing once.

Hopefully my next post will be up on Tuesday.

DE – Bücher!

2011-09-26T00:34:00.003+02:00

Je nachdem in welcher Zeitzone ihr wohnt ist der Sonntag schon vorbei, leider bei mir auch, so das aus dem Sonntagsposting ein Montagmorgenposting geworden ist.

Jetzt da ich das Thema CCIE ernsthaft angehen will, ist natürlich eine der wichtigsten Fragen, was sollte man alles Lesen um Fit auf dem Bereich zu werden und auch eine ernsthafte Chance zu haben.

Es gibt bei Cisco eine schicke Liste mit empfohlenen Büchern, wenn man die durchgeht bekommt man es mit der Angst zu tun, da um das alles zu lesen man vermutlich Jahre braucht.

Cisco CCIE Security Liste

Ich nenne davon Folgende bereits mein eigen:

CCIE Security v3.0 Configuration Practice Labs (eBook), 2nd Edition

Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance, 2nd Edition

The Complete Cisco VPN Configuration Guide

Routing TCP/IP, Volume I, Second Edition

The Protocols (TCP/IP Illustrated : Volume 1)

Bis auf das erste hab ich diese schon einige Zeit da ich sie fürs Arbeitsleben hin und wieder auch gebrauchen kann. Das erste Buch hab ich nur zum CCIE Training mir an Land gezogen.

Sobald ich neue Bücher mir hinzu hole wird ich das hier irgendwo updaten. Fürs erste hab ich genug mit den die ich habe zu tun.

Mehr gibt es voraussichtlich am Dienstag

EN - Go Go Go!

2011-09-24T00:39:00.001+02:00

Well that’s life, traveling around and doing various projects you end up doing more Checkpoint than Cisco stuff. Actually I´m fine with both but I like Cisco a little more. So what can I do to get back on the Cisco track? Yes aim for the CCIE security. (You have to have big goals).

I was hoping that I would have finished my CCIE before I hit the age of 31 but well I really had no time (insert other lame excuse here!) .

Anyway to really start with the CCIE preparations you need what (except from time and books) yes equipment! Here we go!

That’s 3x ASA 5510 Sec bun + 3x 2940 + 1x 1841. In theory I just need the ASAs and the switch the rest will be done using VMware, GNS3 and IOU.

When the lab is finished wiring it will hopefully look somewhat like this:

The top left router is a 2509 for TS that I bought today but that is not jet shipped.

That’s all for now more on Sunday (hopefully)

DE – Go Go Go!

2011-09-24T00:25:00.002+02:00

So schön kann die Welt sein. Da treibt man sich eine Weile in den unterschiedlichsten Projekten herum und plötzlich hat man mehr mit Checkpoint zu tun als mit Cisco. Grundsätzlich kann ich mit beiden Systemen leben aber mir liegt eigentlich eher die Cisco Variante. Daher heißt es für mich in nächster Zeit Cisco wieder stärker forcieren.

Und wie lässt sich Cisco stärker forcieren genau mit einem CCIE. JAHA! Genau CCIE! Eigentlich wollte ich das Thema noch vor meinem 31 erledigt haben aber irgendwie war der Rest der Welt gegen mich. (Bitte hier beliebige andere Ausrede einsetzen)

Sei es wie es sei, ich mach nun ernst. Was braucht man wenn man es ernst meint? Richtig Equipment!

Das hab ich ja nun wie man hier hübsch sieht (3x ASA 5510 Sec bun + 3x 2940 + 1x 1841)

Brauchen tu ich eigentlich nur die drei ASAs und den 2940 24 Port Switch eventuell fällt mir noch etwas Sinnvolles für den 1841 ein aber eigentlich wollte ich alles was Router und Switch heißt ins IOU bzw. Dynamips verbannen.

Das ganze sieht dann nach aktuellem Netzwerkplan auf Layer 2 etwa so au:

Ach ja der Router oben links ist ein 2509 als TermServer der heute günstig für mich abfiel, aber sich noch ein paar Tage auf Reisen befindet.

So, am Sonntag gibt es mehr!

DE - Port Channel

2011-01-03T22:18:00.002+01:00

Wie schon heute Vormittag erwähnt, werde ich mich z.Z. etwas mehr dem CCNP Themen widmen und Überraschung hier ist das erste aus dem SWITCH Bereich: EtherChannel. Da es mir im Moment an echten Switchen fehlt hab ich das ganze soweit wie möglich in GNS3 / Dynamips nachgebaut.

Das Setup ist denkbar einfach 2x 3725 als Hosts und 2x 3725 mit NM-16ESW als Switches die den EtherChannel bilden, wobei die Switches mit 4 Kabeln direkt an den Interfaces FastEthernet 1/12 - 15 verbunden werden.

Die Konfiguration ist nur um den Domainnamen, eine IP und den Speed sowie Duplex Einstellungen erweitert worden.


ip domain name EtherChannel.playingwithnetworks.com
int fast 0/0
speed 100
du fu
ip address 10.0.1.1 255.255.255.0
no shut

Auf den Switches muss an sich nur der EtherChannel konfiguriert werden. Sobald beide Switches an sind konnte man im Spanning Tree das erwartete verhalten bei redundanten Verbindungen sehen. Das geringwertigste Interface, in diesem Fall FastEthernet 1/12 geht in den forwarding modus die restlichen Interfaces sind im Blocking auf dem Switch der nicht Root Bridge geworden ist.


Switch_A#sh spanning-tree brief
VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 19
Port 53 (FastEthernet1/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 19 32768 c20b.1ed0.0000 128.41
FastEthernet1/12 128.53 128 19 FWD 0 32768 c20a.1ed0.0000 128.53
FastEthernet1/13 128.54 128 19 BLK 0 32768 c20a.1ed0.0000 128.54
 FastEthernet1/14 128.55 128 19 BLK 0 32768 c20a.1ed0.0000 128.55
 FastEthernet1/15 128.56 128 19 BLK 0 32768 c20a.1ed0.0000 128.56

Der EtherChannel kann dann wie folgt konfiguriert werden:


Interface range fast 1/12 – 15
Switchport trunk encryption dot1q
Switchport mode trunk
Channel-group 1 mode on

Wobei die Trunk Settings optional sind wichtig ist nur das die Interfaces dieselben Settings haben.
Sobald beide Switches durchkonfiguriert sind und die PortChannel Interfacesauf beiden Up sind verschwinden Interfaces Fast 1/12 – 15 aus der Spanning Tree Ansicht. Es bleibt nur noch das PortChannel 1 Interface im Forwarding Modus.


Switch_A#sh spanning-tree brief

VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 8
Port 321 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 8 32768 c20b.1ed0.0000 128.41
FastEthernet1/1 128.42 128 19 FWD 8 32768 c20b.1ed0.0000 128.42
Port-channel1 129.65 128 8 FWD 0 32768 c20a.1ed0.0000 129.65

Das war´s ;)

EN – Ether Channel

2011-01-03T17:21:00.001+01:00

As I mentioned I will put up some CCNP stuff so here we go Ether Channel. Since I´m lacking real Switch hardware I sat it up on GNS3 / Dynamips.
First of all I added 2 x 3725 as Hosts than 2 x 3725 with NM-16ESW as “Switches”and connected both switches with 4 cables via interfaces fast ethernet 1/12 - 15.

The configuration of the Hosts is straight forward
domain name, interface IP address 10.0.1.1 or 2 /24 speed and duplex


ip domain name EtherChannel.playingwithnetworks.com
int fast 0/0
speed 100
du fu
ip address 10.0.1.1 255.255.255.0
no shut

On the „switches“ you have to configure the Ether Channels. If you have a look on your spanning tree you´ll see that only the interface with the lowest interface number is in forwarding state all other interfaces connecting to your root bridge are in blocking state.


Switch_A#sh spanning-tree brief
VLAN1
Spanning tree enabled protocol ieee
Root ID    Priority    32768
Address     c20a.1ed0.0000
Cost        19
Port        53 (FastEthernet1/12)
Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

Bridge ID  Priority    32768
Address     c20b.1ed0.0000
Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
Aging Time 300

Interface                                   Designated
Name                 Port ID Prio Cost  Sts Cost  Bridge ID            Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0      128.41   128    19 FWD    19 32768 c20b.1ed0.0000 128.41
FastEthernet1/12     128.53   128    19 FWD     0 32768 c20a.1ed0.0000 128.53
FastEthernet1/13     128.54   128    19 BLK     0 32768 c20a.1ed0.0000 128.54
 FastEthernet1/14     128.55   128    19 BLK     0 32768 c20a.1ed0.0000 128.55
 FastEthernet1/15     128.56   128    19 BLK     0 32768 c20a.1ed0.0000 128.56

The Ether Channel is configured by adding all physical interfaces to a channel group.


Interface range fast 1/12 – 15
Switchport trunk encryption dot1q
Switchport mode trunk
Channel-group  1 mode on

As soon as on both switches this configuration has been applied you can have another look into the spanning tree and you´ll see that the interfaces fastethernet 1/12 – 15 have vanished and only interface Port-channel 1 is in forwarding state.


Switch_A#sh spanning-tree brief

VLAN1
Spanning tree enabled protocol ieee
Root ID    Priority    32768
Address     c20a.1ed0.0000
Cost        8
Port        321 (Port-channel1)
Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

Bridge ID  Priority    32768
Address     c20b.1ed0.0000
Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
Aging Time 300

Interface                                   Designated
Name                 Port ID Prio Cost  Sts Cost  Bridge ID            Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0      128.41   128    19 FWD     8 32768 c20b.1ed0.0000 128.41
FastEthernet1/1      128.42   128    19 FWD     8 32768 c20b.1ed0.0000 128.42
Port-channel1        129.65   128     8 FWD     0 32768 c20a.1ed0.0000 129.65

Done ;)

Cheers NWG

DE - Change Blog Roll

2011-01-03T12:13:00.000+01:00

Zum neuen Jahr hab ich mal die Blogroll etwas ausgemistet und Blogs rausgeworfen die seit mehr als einem Jahr kein Update mehr gemacht haben – Asche auf mein Haupt. Ich habe dafür die Blogs von GNSVault und Darby Weaver neu reingenommen, beide sind sehr lesenswert. Wer noch andere lesenswerte Blogs empfehlen kann nur her damit.

Cheers NWG

EN - Change Blog Roll

2011-01-03T11:39:00.002+01:00

I just cleaned our blog roll since we had some blogs in it that were dead for more than one year (BTW: does someone know what happened to Joe Harris 6200networks.com). I ´ve added the blogs of GNSvault and Darby Weaver to the blog roll they are both worth reading a lot. Any other recommendations please post into the comments.

Cheers NWG

DE - Frohes Neues ...

2011-01-03T11:28:00.001+01:00

Ein frohes neues Jahr
Ich hoffe ihr seid alle mindestens genauso gut in 2011 angekommen wie ich und habt ordentlich gefeiert. Wie der ein oder andere vielleicht via Twitter oder Facebook mitbekommen hat lerne ich z.Z. die Basics des CCNP Tracks um dort etwas sicherer zu werden. Also werde ich hier in der nächsten Zeit etwas mehr CCN Stuff posten.

Cheers NWG

EN- Happy New Year

2011-01-03T11:23:00.000+01:00

Happy New Year ;)
Hey networking people – hope you got well into 2011. Speaking for myself I can acknowledge this. As some of you may have noticed I started learning some basic stuff for CCNP. I want to make sure to now the basic stuff before moving on. So expect some CCNP material here soon.

Cheers
NWG

DE - GNS3Vault

2010-12-14T14:29:00.001+01:00

Vor ein paar Tagen ist mir ein Tweet oder Retweet über gns3vault aufgefallen und da ich gerade etwas Zeit hatte, habe ich mir die Seite angesehen. Es sind eine Menge guter und vor allem interessanter Labs zu finden und die Seite ist auf jeden Fall einen Blick wert. Wer sich für den CCNA oder NP vorbereitet sollte dir vorbeischauen.

http://gns3vault.com

Viel Spaß beim Lab nachbauen

EN - GNS3Vault

2010-12-14T14:26:00.001+01:00

So a few days ago I noticed a tweet or retweet about gns3vault and I decided to have a look at this page. I was really surprised about the amounts of labs they had already in place. If you are learning Cisco (CCNA / NP) it is definitely worth having a look.

http://gns3vault.com

have fun / good luck :)

DE - Neues aus der Gruft

2010-11-08T10:47:00.000+01:00

OK wir waren im Großen und Ganzen ziemlich faul was unseren Blog angeht. Ich kann nur ´tschuldigung sagen und Besserung geloben. Aber wie schon erwähnt hab ich das Jahr über eine neue Firma mitaufgebaut und froh sagen zu können das diese nun ganz passabel läuft. Zif hingegen hatte genug mit dem Familienleben zu tun so, dass auch bei Ihm nicht wirklich viel Zeit zum bloggen übrig blieb.
Wie auch immer, ich hatte das Glück in den letzten Wochen und Monaten ein paar interessante Projekte zu haben und vor allem extrem coole Netzwerke zu sehen von denen ich hin und wieder mal ein paar Informationen durchblicken lassen will.
Ich versuche auch immer noch meinen CCIE Sec zu schaffen, aber da hab ich leider auch etliches an Nachholbedarf, was das Training angeht. Auf jeden Fall werde ich jetzt wieder mehr hier von meinem Weg zum CCIE usw. posten. Hoffe ich zumindest.

Cheers NWG

EN - Back from the grave ;)

2010-11-08T10:41:00.002+01:00

So we´ve been more than lazy concerning this blog, hope we still have people coming here from time to time. Sorry for that but as I already mentioned I had to build up a new company, that actually is now quite good and Zif has been busy with family life etc.
Anyway I had some nice projects going on the last months and have seen some impressive networks. Since I still try to get my CCIE I will reactivate this blog and drop some more post within the next months. I hope I can do it at least.

Cheers NWG

EN - Happy new year ...

2010-01-03T00:10:00.000+01:00

Happy new year to all our readers.

I hope that everyone had a good start into 2010 and that everyone had the chance to achieve the aims they set for 2009. I'm proud to say that I did :D, I managed short before X-mas to pass the last CCSP exams and I'm now officially a CCSP. The exams where quite hard and I took a boot camp in India just for the CCSP preparation, that helped me a lot in the IPS topics.

Now we have 2010 and the next big aim is CCIE Security by the end of the year. I'll keep you updated on my progress.

Cheers NWG

DE - Frohes neues ...

2010-01-03T00:09:00.002+01:00

Frohes neues Jahr und so, sei allen Lesern hier vorab gewünscht.
Ich hoffe ein jeder ist gut in das neue Jahr rein gekommen und konnte am Ende von 2009 sagen er hat alle selbst gesteckten Ziele für sich erfüllt. Ich zumindest konnte das behaupten. Kurz vor Weihnachten hab ich die letzten Tests abgelegt und darf mich nun ganz offiziell CCSP nennen. Ich hab dafür extra noch ein Bootcamp in Indien mitgemacht, was mir gerade im Bereich IPS sehr geholfen hat.

Jetzt kommt das nächste große Ziel bis zum Ende 2010 CCIE Security. Ich werde euch auf dem laufenden halten.

Cheers NWG

DE - dynamisches Routeleanking oder "Inter VRF routing"

2009-12-14T11:47:00.003+01:00

Dynamisches Route Leaking oder Routing Protokolle fürs Routing zwischen der globales Routingtabelle (GRT) und VRFs

Hallo zusammen,

das letzte mal gab es ein Beispiel, wie man statisch das Routing zwischen 2 VRFs einrichtet und dachte, daß es doch garnicht so schwer sein kann, dies auch dynamisch zu realisieren ... das war reichlich naiv ;)
Nach massig herumprobieren und mit dem Rat von ein paar anderen habe ich ein kleines Lab zusammengebaut, wo Routen zwischen der GRT und einem VRF dynamisch ausgetauscht werden.
Soweit ich es sagen kann, gibt es keine Möglichkeit Routen auf normalem Wege zu redistributen, wenn ein Routingprozess der globale ist. Wenn man es dennoch versucht, bekommt man eine kryptische Fehlermeldung wie diese:
VRF -> GRT [code]%OSPF process 1 is attached to Default-IP-Routing-Table[/code]
GRT -> VRF [code]OSPF process 22 already exists and is attached to Default-IP-Routing-Table[/code]

Dies müssen wir einfach "austricksen" und dafür brauchen wir einige Tunnelinterfaces und ein paar Loopbacks

So sieht mein Netzplan aus:

Der globale Client und der VRF_Client werden wieder durch missbrauchte Router dargestellt, die lediglich eine IP haben und eine Default Router auf das ausgehende Interface+Next Hop IP.

grt_host
[code]interface FastEthernet0/0
ip address 10.10.10.10 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.10.10.1 FastEthernet0/0[/code]

vrf_host
[code]interface FastEthernet0/1
ip address 20.20.20.20 255.255.255.0
ip route 0.0.0.0 0.0.0.0 20.20.20.1 FastEthernet0/1[/code]

Nun brauchen wir ein paar Grundkonfigurationen für den VRF Router:

ein vrf erstellen:

ip vrf zif
 rd 1:1
 route-target both 1:1

Interface config zum grt_host:

interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 speed 100
 full-duplex

Interface config zum vrf_host:

interface FastEthernet0/1
 ip vrf forwarding zif
 ip address 20.20.20.1 255.255.255.0
 speed 100
 full-duplex

Das alles ist kein Hexenwerk ... bis jetzt ;)

Das erste was wir uns überlegen müssen: wie tricksen wir die Grenzen des Designs aus?

Die erste Zutat sind "Tunnel-Interfaces", die andere sind "Loopbacks".

Unterm Strich brauchen wir:
ein Tunnel-Interface pro VRF,
ein Tunnel-Interface für die GRT
ein Loopback pro VRF und
ein Loopback für die GRT.

Wenn wir mehrere VRFs mit der GRT verknüpfen wollen, brauchen wir entsprechend der obigen Liste das gleiche nochmal pro zusätlichem VRF.

Beide Loopbacks werden in der GRT gelassen:
VRF Router

interface Loopback111
 ip address 111.111.111.111 255.255.255.255

interface Loopback222
 ip address 222.222.222.222 255.255.255.255

Jetzt brauchen wir die dazugehörigen Tunnel-Interfaces.
Das für die GRT:

interface Tunnel102
 ip address 100.100.100.1 255.255.255.0
 tunnel source 111.111.111.111
 tunnel destination 222.222.222.222

Und das für das VRF:

interface Tunnel201
 ip vrf forwarding RED
 ip address 100.100.100.2 255.255.255.0
 tunnel source 222.222.222.222
 tunnel destination 111.111.111.111

Was macht dieses Konstrukt? Wir zeigen mit dem dem Tunnel 201 auf die Loopback in der GRT, mit der Quelle in der GRT und packen das ganze dann ins VRF. Hört sich nicht nur komisch an, es ist komisch (und "fühlt sich komisch an), ABER es funktioniert ;)

Jetzt haben wir schicke Netzwerke, zwischen denen wir ein Routingprozess wie zB OSPF laufen lassen können.

Der globale Routingprozess:

router ospf 1
 router-id 10.10.10.10
 log-adjacency-changes
 network 100.100.100.1 0.0.0.0 area 0
 network 10.10.10.0 0.0.0.255 area 0

Der VRF Routingprozess:

router ospf 2 vrf zif
 router-id 20.20.20.20
 log-adjacency-changes
 network 20.20.20.0 0.0.0.255 area 0
 network 102.102.102.2 0.0.0.0 area 0

Die Routing Tabelle schaut danach wiefolgt aus::
global


VRF_Router#sh ip route
[...snip...]

Gateway of last resort is not set

     102.0.0.0/24 is subnetted, 1 subnets
C       102.102.102.0 is directly connected, Tunnel102
     200.200.200.0/32 is subnetted, 1 subnets
C       200.200.200.200 is directly connected, Loopback200
     100.0.0.0/32 is subnetted, 1 subnets
C       100.100.100.100 is directly connected, Loopback100
     20.0.0.0/24 is subnetted, 1 subnets
O       20.20.20.0 [110/11112] via 102.102.102.2, 00:24:29, Tunnel102
     10.0.0.0/24 is subnetted, 1 subnets
C       10.10.10.0 is directly connected, FastEthernet0/0

vrf


Router#sh ip route vrf zif

Routing Table: zif
[...snip...]

Gateway of last resort is not set

     102.0.0.0/24 is subnetted, 1 subnets
C       102.102.102.0 is directly connected, Tunnel201
     20.0.0.0/24 is subnetted, 1 subnets
C       20.20.20.0 is directly connected, FastEthernet0/1
     10.0.0.0/24 is subnetted, 1 subnets
O       10.10.10.0 [110/11112] via 102.102.102.1, 00:26:19, Tunnel201

Und das wars auch schon!
Nun ist es möglich vom grt_host direkt den vrf_host zu pingen und umgekehrt.

Bei Fragen nutzt einfach die Kommentarfunktion

Bis dann,
Zif

DE - IOS HTTP Server "hacking" Vorsorge

2009-11-26T15:16:00.004+01:00

So nachdem ich heute 4 Firmen angerufen hab und denen mitgeteilt hab das die Konfiguration Murks ist, poste ich die ganze Geschichte auch noch in deutsch.

Vor kurzem bin ich über eine Suchmaschine gestolpert mit der man auch was finden kann. Dabei ging es aber nicht um den Inhalt der Webseite sondern mehr das drum herum. So war es möglich nach dem Webserver und deren Version zu suchen.

Gesagt getan auf meine suche nach Cisco IOS Webservern erhielt ich über 67.000 Treffer. Ouch,. mal ehrlich 67k wieso müssen die Webinterfaces haben und vor allem warum müssen die via Publik IP Verfügbar sein.

Als ich so durch die liste surfte stellt ich fest das einige nicht mit der 401 sondern mit einer 200 als HTTP Statuscode antworteten. Einen von den Routern angeklickt und schon hat sich gezeigt. Prima die Systeme arbeiten ganz ohne Authentifizierung.

Ich hab die Suchkriterien angepasst und von 67.000 Routern brauchen mehr als 1200 Kein Passwort sind also ungeschützt.

Da es über die Weboberfläche möglich ist ein show cdp neigbor abzusetzen zeigte sich das hinter den Routern noch andere Cisco Komponenten hängen. Ich hoffe das die nicht so lausig konfiguriert sind wie der Router.

Um sicher zu sein, gilt daher entweder eine Access Liste auf den Webserver binden:


access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1

oder noch besser:


no ip http server

cheers
NWG

EN - IOS HTTP Server hacking prevention

2009-11-26T14:03:00.004+01:00

OK I need to post this since this is really scary to me.

A few days ago I stumbled upon a quite cool search engine (no I will not post the URL) what was really interesting is that it did not search for the content of the website it was more interested in the server replies like Server Version HTTP status code.

Since Cisco routers and switches offer a web server for configuration I searched for Cisco IOS servers. The result was scary (it gets worse a bit later) more than 67.000 routers and switches operating the HTTP server are public available. Their may be reasons why routers should be available via HTTP from the Internet but 67000 router people you are kidding me.
I checked some of them and most look like real routers/ switches.

But while browsing the list I found a few routers responding with Cisco IOS Server AND HTTP 200 code. (most of the routers respond with 401 authorization required). I tried one of these and great I could log in and have a look at the configuration passwords etc.

I decided to redefine my search and the result was: from those 67.000 routers 1200 are not requiring authorization of any kind, great.

A quick show cdp neigh showed that most of them I've checked are connected to other Cisco devices. I hope that these devices aren't configured that poorly.

To get out of this list just bind an access list to you HTTP Server,


access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1

or even better do a


no ip http server

hope some of those guys owning these routers fix them (fast)

Cheers
NWG

DE - "Router on a Stick" oder "Inter VLAN routing" mit ASA 5505

2009-11-21T02:01:00.006+01:00

Da ich eben beim durchschauen der Google Auswertung unserer Seite festgestellt hab das mehrere Abfragen bzgl. ASA 5505 und Router on-a-stick kamen will ich hier ein kurze Antwort posten.

Die Frage ob es überhaupt geht, ist mit einem klaren Ja und Nein zu beantworten. Die ASA 5505 bietet in der Basis Lizenz 3 Vlans an und enthält keine Trunk Option. Das bedeutet in der Basis Lizenz geht ein Router on-a-stick nicht, da ja on-a-stick bedeutet, rein und raus am selben physikalischen Interface.
Hat man die erweiterte (Plus) Lizenz gekauft, hat man mehr Vlans und kann auch Trunks bauen. Dies erfolgt dann ähnlich der Konfiguration von Trunk Ports auf einem Switch:

Anlegen der entsprechenden Vlan Interfaces


interface vlan 10
nameif IF_outside
security-level 0
ip address 172.20.2.1 255.255.255.0
no shutdown

interface vlan 20
nameif IF_Core
security-level 100
ip address 172.20.3.1 255.255.255.0
no shutdown

interface vlan 30
nameif IF_MGMT
security-level 99
ip address 172.20.4.1 255.255.255.0
no shutdown

interface vlan 30
nameif IF_Marketing
security-level 20
ip address 172.20.5.1 255.255.255.0
no shutdown

Aufbauen des „Sticks" Interfaces


interface ethernet 0/0
description ### Stick Interfaces ###
switchport mode trunk
switchport trunk allowed vlan 10,20,30
no shutdown

Access-listen können wie gewohnt eingebunden werden und auch der Rest arbeitet genau wie erwartet. Am anderen Ende der Verbindung von Ethernet 0/0 sollte ein Switch dann den Trunk wieder aufteilen. Routing erfolg gemaess den richtlinien der ASA bzgl der Security-Level der einzelnen Vlans (vom hohen Level zum niedrigen ist default erlaubt, andersherum muss freigeschalten werden)

Vielleicht eine Anmerkung, die 5505 hat 8 Ports, daher ist eigentlich eine on-a-stick Konfiguration nur bedingt sinnvoll. Ich persönlich würde zumindest die WAN Seite von den Internen Ports trennen. Aber das ist nur meine Meinung.
Anmerkung 2, auf den anderen ASA 55x0 funktioniert das bauen von Router on-a-stick Konfigurationen fast genau wie bei einem Cisco Router.

Cheers NWG

EN - Layer 2 redundancy with routers

2009-11-21T00:47:00.008+01:00

Yesterday I was playing around with dynamips and found a really cool solution to a problem that well not exists. But after thinking a while I found a situation at a customer location that could make use of my idea.

I'll describe the situation.
The customer has one core switch located in his main building and across his (large) campus a few distribution switches. All switches are layer 2 only so no routing stuff. Since the network small (a view servers and some hand full of workstations) the customer uses one class C subnet (eg 172.20.3.0 /24)
The problem is, the internet access is located near 2 edge switches but far from the main building. So the Edge Router is placed with one WAN interfaces and 2 LAN interfaces one connecting to each edge switch
This looks like this diagram:

So this leads to one obvious question, how do you provide on those LAN interfaces ONE gateway IP (remember no dynamic routing plain default gateway)
The solution is easy: build a bridge group and add a Bridged Virtual Interface (BVI)

How this is done? Just a second I'll show you.
Start with the usual fluff: name, domain, ntp whatever you need and want.


enable
configure terminal

hostname EdgeRouter
ip domain-name playingwithnetworks.com
no ip domain-lookup

line console 0
 logging synchronous
 password #sicher01
 login

line vty 0 4
 logging synchronous
 password #sicher01
 login
 transport input telnet

OK you should add of course logging, ntp, ssh security and so on but this would be to much.

Now the next step becomes interesting.
Apply the bridging settings


bridge irb
! enables bridging with routing

bridge 1 protocol ieee
! tells the router what protocol to bridge on bridge group 1

bridge 1 route ip
! tells the router what protocol to route (not what routing protocol )

! configure your LAN interfaces
interface fastEthernet 0/0
description ### LAN Link to EdgeSwitch01 ###
bridge-group 1
! add interface to bridging group 1

! configure your LAN interfaces
interface fastEthernet 0/1
description ### LAN Link to EdgeSwitch02 ###
bridge-group 1
! add interface to bridging group 1

interface BVI 1
description ### routing interface of bridge group 1 ###
ip address 172.20.3.1 255.255.255.0
no shutdown

Next thing you need is to configure the interface to the ISP, this is usual stuff done about a hundred of times and set your default route.


interface Serial0/0
 description ### ISP Uplink ###
 ip address 172.20.4.2 255.255.255.252
 no shutdown

ip route 0.0.0.0 0.0.0.0 Serial0/0 172.20.4.1

Well that's it !!

To verify that all is working, issue a show spanning-tree on your EdgeRouter

Bridge group 1 is executing the ieee compatible Spanning Tree protocol
(…)
Port 3 (FastEthernet0/0) of Bridge group 1 is forwarding
(...)
Port 4 (FastEthernet0/1) of Bridge group 1 is blocking
(…)

By now you know that what we've done is, we've turned the LAN side of our Router into a switch and let spanning tree do the path selection. We could have bought a switching module for our router or created a third single point of failure (1st is only one CoreSwitch, 2nd is only one Edge Router) and set up a physical switch between the edge switches and our router.

DE – SDM mit Dynamips Routern (IINS Vorbereitung)

2009-11-16T12:39:00.005+01:00

Das wird ein kurzes Zwischenpost da das Thema an sich recht einfach ist.
Jeder der sich auf den IINS Test von Cisco vorbereitet weiß das der SDM zu den Dingen gehört die zwingend notwendig sind, um bei dem Test was zu erreichen. Wer aber (wie ich) nicht unbedingt so viel Geld in die Hand nehmen will für echte Routerhardware, der nutzt vermutlich Dyanmips, Dynagen bzw GNS3. Doch dann stellt sich die Frage, wie bekommt man den SDM auf einem virtuellen Router zu laufen , dem gehen wir hier nach.

Vorbereitung: In meinem Aufbau, musste ich eine VM meines dynaBuntu anlegen und diese mit dem Router LAB_R001 verbinden (das werden die meisten von euch nicht machen)

Schritt 1: Vorbereitung des Virtuellen Routers mit den üblichen Einstellungen wie Hostnamen Interface IPs etc.

Schritt 2: Einschalten des HTTP Servers des Routers mittels des Befehls


ip http server

Jetzt sollte die Konfiguration des Routers in etwa so aussehen (defaults und unwichtige Informationen wurden raus gelassen)


service password-encryption
!
hostname R_LAB_SDM_01
!
enable secret 5 $1$51xU$t3K/gEBYlwwTYeTEdCqTy/
!
ip domain name playingwithnetworks.com
interface FastEthernet0/0
description ### Link to LAB_R001 and HyperV ###
ip address 172.20.1.3 255.255.255.0
speed 100
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip http server
!
line con 0
password 7 XYZXYZ
logging synchronous
login
line vty 0 4
password 7 YZXZY
logging synchronous
login
transport input telnet

Schritt 3: Eine Kopie des SDM besorgen – das macht sich am besten von der Cisco Seite, wofür aber ein CCO Account gebraucht wird

Zwischenschritt 4: Es ist sicherzustellen das der Router die VM oder den PC erreichen kann und umgekehrt, das funktioniert am besten mit einem Ping zwischen den Geräten..

Schritt 4: Installation des SDM

Welcome Window – klick next
License Agreement – anklicken “I accept the terms of agreement” & klick next
Install Options: - auswählen der Option : “This Computer” & klick next
Choose Destination Location – klick next (oder einen anderen Pfad wählen)
Ready to Install the Program – klick install

Sobald die Installation beendet ist findet sich auf dem Desktop der Workstation ein Icon mit dem Namen: “Cisco SDM” das bitte durch doppelklick starten. Nach Eingabe der guiltigen IP (bei mir 172.20.1.3) sollte folgendes Bild erscheinen (oder so ähnlich)

Das war es erst mal, danke für die Aufmerksamkeit :D

cheers NWG
PS Ein etwas ausführlichers Video zum Thema SDM auf GNS3 von Blindhog.net

EN - SDM on Dynamips Routers (IINS preparation)

2009-11-16T01:56:00.013+01:00

This post will be quite short because the topic is pretty easy.
To prepare for the IINS exam you need to have a router with SDM support. If you (like me) don't want to spend the money on real hardware you'll use dynamips/dynagen/gns3.

So how can you run a dynamips router with SDM support. Well this is pretty straight forward
pre-step 1:
In my setup I've had to set up a new dynaBuntu VM and connect this VM to LAB_R001 (you'll probably not have to do this)
Step 1: prepare your router with the usually fluff: set up interfaces, users hostname etc ..
Step 2: add http and if desired https server capability to the router setup


       ip http server

The configuration of your dynamips router could look like this (defaults have been skipped) one by now:


service password-encryption
!
hostname R_LAB_SDM_01
!
enable secret 5 $1$51xU$t3K/gEBYlwwTYeTEdCqTy/
!
ip domain name playingwithnetworks.com
interface FastEthernet0/0
description ### Link to LAB_R001 and HyperV ###
ip address 172.20.1.3 255.255.255.0
speed 100
full-duplex
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip http server
!
line con 0
password 7 XYZXYZ
logging synchronous
login
line vty 0 4
password 7 YZXZY
logging synchronous
login
transport input telnet

Step 3: get you copy of the SDM from Cisco (CCO required)

pre-step 4: make sure your dynamips Router can ping your SDM host and vice versa
Step 4:: install the SDM on a PC (or VM)

Welcome Window – click next
License Agreement – select “I accept the terms of agreement” & click next
Install Options: - choose the option: “This Computer” & click next
Choose Destination Location – click next (or select an other location)
Ready to Install the Program – click Install

After the installation has finished you've got a new icon on your desktop called: “Cisco SDM”, double click the icon and enter the IP of your dynamips router. If you've followed this guide you should be able to login to your router via SDM and get something like this screenshot.

Cheers and Thanks for your attention.
NWG

PS a little more detailed movie about the SDM on GNS3 topic, just click to get to the blindhog Video

DE - HyperV dynamips Problem

2009-11-16T00:07:00.002+01:00

So jetzt auch in Deutsch, hat etwas gedauert aber das Wochenende war anstrengend.

Was ist also passiert? Ich hab ein wenig an meinem LAB Setup herum gebastelt und DynaSlax gegen ein selbst gebautes Ubuntu Relase getauscht. Ich hab das Image auf dynaBuntu getauft, das Image ist ausschließlich ein Text Ubuntu mit Dynamips/ Dynagen sowie tcpdump und ssh ausgestattet, der Rest wurde raus geschmissen.

Das ganze läuft, wie in meinem letzten Blog Eintrag beschrieben, auf HyperV unter Windows Server 2k8. Vorgestern habe ich dann ein Szenario erstellt, bei dem die Router in dynaBuntu mit der echten Hardware meines Netzes kommunizieren können müsse.
Schon während des installieren des BGP Router Setups zeigte sich, dass ich von meiner ASA zwar alle Systeme entlang des Netzwerkpfades, inklusive der dynaBuntu Maschine erreichen kann (Home-SW002, Core01, LAB-R001), nur die BGP-Router nicht. Interessanterweise zeigte ein show cdp neighbors das der BGP Router LAB-R001 sah, aber umgekehrt nicht.
TCPdump auf der dynaBuntu Maschine zeigte das ARP Requests an den BGP-Router per Broadcast angenommen und beantwortet wurden, aber auf der LAB-R001 Seite des HyperV vSwitches nichts mehr ankam. Es sah so aus, als wäre eine Art Port-Security auf dem HyperV vSwitch aktiv.

Es dauerte noch eine Weile bis ich in den Einstellungen der VM die Option “ Enable spoofing of MAC addresses” fand.

Nachdem die VM ausgeschalteten war und die Einstellungen angepasst waren, sahen sich meine Systeme wie gewollt und die Routen verteilten sich wie erwartet im Netz.

Beste Grüße
NWG

EN - HyperV dynamips problem

2009-11-14T01:11:00.003+01:00

Well well well, I've posted some days ago my new lab setup. Today I ran into a strange problem. I replaced today dynaslax with my dynaBuntu a self build Ubuntu release. DynaBuntu focuses on dynamips / dynagen and only ssh is running else, no fluff stuff :D

Anyway I deployed a BGP router scenario that should interact with my real hardware firewall.
Strangely I could ping from my ASA all important Ips: Core01, LAB-R001 and the dynaBuntu instance but I could not ping the router in dynaBuntu (BGPRouter). I was even more surprised when my BGPRouter showed that he could build a CDP connection with LAB-R001.

Some times later I noticed that LAB-R001 could not resolve the IP of my BGPRouter. ARP requests were send and tcpdump showed that BGPRouter responded as expected. The next step showed the ARP response disappeared somewhere in the HyperV vSwitch. So I needed to find a way to allow this setup.

After a while I found the check box in the VM network settings that specified
“Enable spoofing of MAC addresses”, it looks like the HyperV vSwitch is running some kind of port-security settings.

Shutting down the VM, changing this setting and hurray I could ping my router and my routes where redistributed as desired.

DE - LAB Update

2009-11-09T12:06:00.004+01:00

Ok es ist wieder eine Weile her, dass ich gepostet habe (passiert mir anscheinend öfter). Es gibt mehrere Grunde warum ich nicht gepostet hab. Zum einen habe ich mich seit August mit mehreren Trainings zum Thema CCNA und CCNA Security befasst. Mittlerweile habe ich den CCNA Test bestanden und bald kommt der CCNA Security dran. Danach geht es zum CCSP Training das ich hoffentlich auch irgendwann im Januar 2010 hinter mich gebracht hab.

Der zweite Grund ist, das ich mein Lab überarbeiten musste und zwar von Grund auf. Grund dafür ist das mein Lab bei weitem nicht den Anforderung entsprochen hat, die ich für meine Kunden brauchte und das ich damit keine CCNA Security Labs durchführen konnte.

Deshalb hier ein kurzer Überblick über mein jetziges LAB Setup:

Anbei eine Erklärung der wichtigsten Maschinen und Systeme:

Elysium:
- eine XP64 Arbeitsstation mit GNS3 und VMware Server 1.8
- die meisten kleinen Labs erarbeite ich hier (quick und dirty)
- bei großen Labs dient die Maschine auch als zusätzlicher Hypervisor
- beide Netzwerkkarten sind am Main und Lab Switch angebunden

Core01
- Win2k8 x64 (64 GB RAM 2x4 Core CPUs) – merkt man das ich stolz auf die Box bin
- alle VMs laufen via Hyper V
- beide Netzwerkkarten sind am Main und Lab Switch angebunden

VM Server:
Active Directory Server und AD Child Server
- um sich gegen AD Szenario zu authentifizieren
CA Server
- MS CA Server für PKI Szenarios zwischen den Routern
Nagios
- Nagios überwacht meine Labs und ein paar echte Maschinen
Radius
- Free Radius um Radius auth. zu simulieren
Tacacs
- TACACS+ um Tacacs auth. zu simulieren (noch nicht fertig eingerichtet)
SDM
- Die XP Maschine stellt den SMD für das CCNA Security Labs zur Verfügung
Workstation
- nur eine Testmaschine für VPN Clients et
MAIL
- Sendet Mails von Nagios
Cisco MARS
- eine virtuelle MARS Appliance (auch noch nicht ganz fertig)
Nicht aufgeführte Systeme:
Cisco ACS 4/5 (trial), CUCM 7/ 5

LAB-R001
- virtueller 7200 Router mit IOS 15.0.1.M
- komplett mit FE Anschlüssen ausgerüstet
- jeder FE Anschluss ist an ein LAB angebunden

LAB-SW01/SW02/SW03
- Cisco Lab Switches von Ebay
- Catalyst 2950 12.1.22-EA13

Home-SW02
- Netgear 8 Port Gigabit Switch

Router Labs
Jedes Router Lab läuft in einer eigenen Dynaslax VM die so viele Ressourcen wie nötig zugewiesen bekommen.

Ich würde mich über Anregungen Kommentare und Ideen zu meinem Labaufbau freuen.
Das war's fürs erste.

cheers NWG

DE- NEWS: Neue Bloggerin bei Playingwithnetworks

2009-11-09T11:24:00.001+01:00

Hallo liebe Leser,

ich hab eine gute Freundin von Zif und mir dazu überreden können, bei uns hier mitzuposten und ihre Erfahrung im Netzwerkbereich allen mitzuteilen. Sie hat vor kurzen ihr CCNA Training absolviert und übt sich jetzt langsam in die Ciscowelt ein.

Ich bin wirklich gespannt was sie hier als erstes postet.

Cheers NWG

EN - NEWS: New Author

2009-11-09T11:20:00.000+01:00

Hi guys,

I was able to convince a good friend of us (Zif and me) to post here her experience on network stuff. She is pretty new and had her first CCNA trainings some weeks ago.

I'm quite excited what her first post will be.

Cheers NWG

EN - Lab update

2009-11-09T11:02:00.003+01:00

It has been a while since I made my last post. This was due to several reasons.
First of all I was doing some training for my CCNA and CCNA Sec certification. I've already passed the CCNA stuff and now I'm up to do the CCNA Sec test.
Later on I've planed to do the CCSP tests, hopefully I'll have them finished in January 2010.

The second reason was that I've restructured my lab from the scratch. This was necessary since the old setup did not reflect the environments I've had to face at my customers location and it was not possible to train for the CCNA Sec stuff. :D

So here is a quick overview of my current lab setup

I'll go through the picture and explain the most important machines:

Elysium:
- Is a XP64 workstation running GNS3 and VMWare Server 1.8
- most small labs and tests are done here
- for larger labs this box is used as additional hypervisor
- 2xNICs connected to my main and my lab switch

Core01
- Win2k8 x64 (64 GB RAM 2x4 Core CPUs) – I'm happy with this box :D
- Hyper V is running all VMS
- 2xNICs connected to my main and my lab switch

VM Servers:
Active Directory Server and AD Child Server
- for authentication tests with Active Directory
CA Server
- MS CA Server to do the PKI stuff for router to router authentication
Nagios
- Nagios is monitoring my lab networks and some of my real workstations
Radius
- Free Radius implementation for authentication testing
Tacacs
- TACACS+ for Tacacs testing (still in deployment)
SDM
- Well this XP Machine provides the SDM that is required for CCNA Sec
Workstation
- This is just a testing machine (VPN client and so on)
MAIL
- Reporting from Nagios
Cisco MARS
- a virtual MARS appliance (not really deployed yet)
Machines not listed:
Cisco ACS 4/5 (trial), CUCM 7/ 5

LAB-R001
- virtual 7200 running IOS 15.0.1.M
- stuffed with lots of FE interfaces
- each FE connects to a router lab

LAB-SW01/SW02/SW03
- Cisco lab switches from Ebay
- Catalyst 2950 12.1.22-EA13

Home-SW02
- Netgear 8 Port Gigabit Switch

Router Labs
Each router lab is a own VM running Dynaslax with as much resources allocated as needed

I would be thank full for any comments and other ideas about the lab setup. Even for questions :D

Thats it for now :D
cheers NWG

DE - "ASDM" Befehlseinschränkung

2009-10-23T23:22:00.002+02:00

Ich hab eine ganze Weile nichts mehr gepostet und komme auch im Moment nicht wirklich dazu, daher mach ich mich mal ans übersetzen von älteren Artikeln, Es ist ja nicht so das wir hier nicht eigentlich Deutsch und Englisch anbieten wollten.

Die Anfrage um die es geht kam damals via Twitter und es war einfach grundlegend nur die Frage, Kann man Nutzern im ASDM rechte beschneiden, so das sie nur Teile der Konfiguration sehen können.. Kurz um: “Ja es geht”

Anbei hab ich eine Quick und Dirty Konfiguration zusammengeschustert die zeigt wie es geht. Ich hab das ganze auf realer Hardware getestet (ASA 5505 8.0.3 ASDM 6.2.1) mit echten VPN settings. Wie gesagt es geht und die Nutzer können nur die Settings im ASDM betrachten und nicht ändern.

PIX Version 8.0(3)
!
hostname PIX
domain-name playingwithnetworks.com
enable password 123 encrypted
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.188.2 255.255.255.0
!
!
!
dns server-group DefaultDNS
domain-name playingwithnetworks.com
pager lines 24
logging enable
logging buffered debugging
logging asdm errors
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-621.bin
!
!
!

dynamic-access-policy-record DfltAccessPolicy

aaa authentication http console LOCAL
aaa authorization command LOCAL
! THIS IS IMPORTANT IF YOU MISS THIS COMMANDS THE THING WILL NOT WORK

http server enable
http 192.168.188.0 255.255.255.0 inside
!
!
!
username VPNSUPPORT password 123 encrypted priv 2
!
!
privilege show level 2 mode exec command running-config
privilege show level 2 mode exec command version
privilege show level 2 mode exec command interface
privilege show level 2 mode exec command logging
privilege show level 2 mode exec command aaa
privilege show level 2 mode exec command crypto
privilege show level 2 mode exec command vpn-sessiondb
privilege show level 2 mode exec command vpnclient
privilege show level 2 mode exec command vpn
privilege show level 2 mode exec command blocks
privilege show level 2 mode exec command webvpn
privilege show level 2 mode exec command compression
!
prompt hostname context

In der vorangegangene Konfiguration wird dem User VPNSUPPORT das Recht eingeräumt, VPN Informationen abzurufen, ohne sie ändern zu können.
Um andere Bereich freizugeben oder zu Sperren kann man einen Trick anwenden.

debug http enabled at level 250

Dann clickt man mit einem User auf die Bereiche die man sehen will und im Debug sieht man die URL die aufgerufen wird. Anhand dieser Information kann die CFG oben angepasst werden.

HTTP: processing GET URL '/admin/exec/show+ipv6+neighbor'

Im Beispiel kann Ipv6 für Level 2 User freigegeben werden.

HTH
Cheers NWG

EN - dynamic routleaking or Inter VRF routing

2009-07-01T16:16:00.012+02:00

dynamic route leaking or routing protcols between global routing table (GRT) and VRFs

Hey Everybody,

last time I showed some exampel config for static roue leaking and thought that dynamic routing between GRT and VRF can't be that hard ... how green.
After some hard trys and help from other people I will now show you, how to exchange routes between GRT and VRF-RT dynamicly.
There is no chance to do a normal redistrubution between routing processes if one is the global one.
If you try so, you'll get some cryptic message like
VRF -> GRT [code]%OSPF process 1 is attached to Default-IP-Routing-Table[/code]
GRT -> VRF [code]OSPF process 22 already exists and is attached to Default-IP-Routing-Table[/code]

How ever, now we need to get this tricked. Therefor we use tunnel interfaces and some loopbacks.

This is my tiny topology:

The global Client and the VRF_Client are again just some as host missused routers with one IP address and a default route pointing on the outgoing IF.
grt_host
[code]interface FastEthernet0/0
ip address 10.10.10.10 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.10.10.1 FastEthernet0/0[/code]

vrf_host
[code]interface FastEthernet0/1
ip address 20.20.20.20 255.255.255.0
ip route 0.0.0.0 0.0.0.0 20.20.20.1 FastEthernet0/1[/code]

Now are some basic config for the vrf_router needed:

Create a vrf:

ip vrf zif
 rd 1:1
 route-target both 1:1

Link to grt_host:

interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 speed 100
 full-duplex

Link to vrf_host:

interface FastEthernet0/1
 ip vrf forwarding zif
 ip address 20.20.20.1 255.255.255.0
 speed 100
 full-duplex

This all was no rocket science yet, until now ;)

First thing to figure out: how to outsmart the limitations of design?

One credential are "Tunnel-Interfaces", an other one "loopbacks".

In sum we need one tunnel-IF per VRF and GRT plus one loopback for each.

Both loopbacks are left in GRT:
VRF Router

interface Loopback111
 ip address 111.111.111.111 255.255.255.255

interface Loopback222
 ip address 222.222.222.222 255.255.255.255

Now we need the correspondent tunnel IFs.
The global one:

interface Tunnel102
 ip address 100.100.100.1 255.255.255.0
 tunnel source 111.111.111.111
 tunnel destination 222.222.222.222

And the VRF one:

interface Tunnel201
 ip vrf forwarding RED
 ip address 100.100.100.2 255.255.255.0
 tunnel source 222.222.222.222
 tunnel destination 111.111.111.111

What this is doing: pointing with the tunnel 201 to a GRT loopback with a source in GRT putting itself in a VRF. It sounds, strange, it looks strange, it feels strange, BUT it works ;)

Now you have sweet networks which you can add to routing processes like OSPF.

The global routing process:

router ospf 1
 router-id 10.10.10.10
 log-adjacency-changes
 network 100.100.100.1 0.0.0.0 area 0
 network 10.10.10.0 0.0.0.255 area 0

The VRF routing process:

router ospf 2 vrf zif
 router-id 20.20.20.20
 log-adjacency-changes
 network 20.20.20.0 0.0.0.255 area 0
 network 102.102.102.2 0.0.0.0 area 0

The routintg tables looks like this:
global


VRF_Router#sh ip route
[...snip...]

Gateway of last resort is not set

     102.0.0.0/24 is subnetted, 1 subnets
C       102.102.102.0 is directly connected, Tunnel102
     200.200.200.0/32 is subnetted, 1 subnets
C       200.200.200.200 is directly connected, Loopback200
     100.0.0.0/32 is subnetted, 1 subnets
C       100.100.100.100 is directly connected, Loopback100
     20.0.0.0/24 is subnetted, 1 subnets
O       20.20.20.0 [110/11112] via 102.102.102.2, 00:24:29, Tunnel102
     10.0.0.0/24 is subnetted, 1 subnets
C       10.10.10.0 is directly connected, FastEthernet0/0

vrf


Router#sh ip route vrf zif

Routing Table: zif
[...snip...]

Gateway of last resort is not set

     102.0.0.0/24 is subnetted, 1 subnets
C       102.102.102.0 is directly connected, Tunnel201
     20.0.0.0/24 is subnetted, 1 subnets
C       20.20.20.0 is directly connected, FastEthernet0/1
     10.0.0.0/24 is subnetted, 1 subnets
O       10.10.10.0 [110/11112] via 102.102.102.1, 00:26:19, Tunnel201

And thats it! Now you are able to ping from you grt_host straight through the vrf_host.

For questions just use the comments.

so long,
Zif

EN - Upcomming: dynamic route leaking or routing protcols between global routing table (GRT) and VRFs

2009-07-01T16:08:00.004+02:00

Hey everyone,

due to NWG asked me for this I started investigation about a way to do some dynamic redistribution between a VRF and the GRT. Everyone trying to solve this by a simple "redistribute" command in the routing process knows, thats that is not the way ;)

At the moment I am preparing the entry for this blog. At this point big thanks to "conspathas" from the dynamip forum for his time explaining this way.

See ya soon,
Zif

Update 09-07-10: due to heavy load @work there is a delay in publication, please stand by :)

EN - "ASDM" command restrictions

2009-06-22T21:28:00.006+02:00

This one I just received via Twitter (Well i grabbed it from my search stream)
Can you restrict ASDM so that users can only view parts of the configuration.

Well "Yes you can"
I´ve created a quick and dirty configuration that should reflect this settings.
Update tested on real hardware with real VPN connections (ASA 5505 8.0.3 ASDM 6.2.1) Works quite well, users can´t reset or disconnect only view. Some commands added to view all VPN settings on ASDM.

PIX Version 8.0(3)
!
hostname PIX
domain-name playingwithnetworks.com
enable password 123 encrypted
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.188.2 255.255.255.0
!
!
!
dns server-group DefaultDNS
domain-name playingwithnetworks.com
pager lines 24
logging enable
logging buffered debugging
logging asdm errors
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-621.bin
!
!
!

dynamic-access-policy-record DfltAccessPolicy

aaa authentication http console LOCAL
aaa authorization command LOCAL
! THIS IS IMPORTANT IF YOU MISS THIS COMMANDS THE THING WILL NOT WORK

http server enable
http 192.168.188.0 255.255.255.0 inside
!
!
!
username VPNSUPPORT password 123 encrypted priv 2
!
!
privilege show level 2 mode exec command running-config
privilege show level 2 mode exec command version
privilege show level 2 mode exec command interface
privilege show level 2 mode exec command logging
privilege show level 2 mode exec command aaa
privilege show level 2 mode exec command crypto
privilege show level 2 mode exec command vpn-sessiondb
privilege show level 2 mode exec command vpnclient
privilege show level 2 mode exec command vpn
privilege show level 2 mode exec command blocks
privilege show level 2 mode exec command webvpn
privilege show level 2 mode exec command compression
!
prompt hostname context

So this should be enough to show your user VPNSUPPORT information about the status of your VPN connection. If you need further information you could use the following trick: switch on debug:

debug http enabled at level 250

and then click with you low priv user to the location of the ASDM you need. You will get the output of what URL was requested and from this you can see what commands you need to enable
for example if you click on monitor interfaces you will get along with others the debug output:

HTTP: processing GET URL '/admin/exec/show+ipv6+neighbor'

With this information you can now enable show ip6 for level 2 if you need.

Hope that helps
NWG

EN/DE - Configuration Registers on Routers

2009-05-18T19:55:00.003+02:00

Hey out there,

due to I stubled over some wrong set config registered in last time and had not all settings in mind, I found a nice cisco document revealing the secrets about the crytic hex values:

Use of the Configuration Register on All Cisco Routers

Have fun with it,
Zif

Hallo zusammen,

letztens bin ich bei einem Kunden über falsch gesetzte config registers gestolpert und da ich mir nicht sämtliche Werte merken kann, habe ich ein schickes Cisco-Dokument gefunden, welches die Bedeutung hinter den kryptischen Hex-Zahlen verrät:

Use of the Configuration Register on All Cisco Routers

Habt Spaß damit,
Zif

DE - ASA 8.2 Release endlich herunterladbar

2009-05-07T09:49:00.001+02:00

Hi,

Ich lade im Moment das ASA 8.2(1) Image herunter um es auf einer meiner Testboxen zu deployen. Der Download ist wie immer unter http://www.cisco.com/cgi-bin/tablebuild.pl/asa zu finden (CCO Account wird benötigt)
Ich halt euch auf dem laufenden wie das Upgrade lief.

Cheers NWG

EN - ASA 8.2 Release ready for download

2009-05-07T09:48:00.000+02:00

Hi all,
I’m currently downloading ASA 8.2(1) Release to deploy it on one of my testing boxes. You can find the download from http://www.cisco.com/cgi-bin/tablebuild.pl/asa (CCO with Contract required)
I'll tell you how the upgrade went.

Cheers NWG

EN - "Route Leaking" or Inter VRF routing

2009-04-29T11:49:00.015+02:00

Heyho,

today I want to give a small guide, how to configure inter-VRF (VRF = VPN Routung and Forwarding) routing.
The Cisco documentation I found for this is more likely rocket science than a working guide.

The task was to implement static routes on one device routing between different VRFs.
I used following network map:

Both routers "VRF_1" and "VRF_2" are only hosts with only an IP and a default route pointing at the outgoin interface:
VRF1

interface FastEthernet0/1 description Link to VRF_Router ip address 10.0.100.2 255.255.255.0 speed 100 full-duplex ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

VRF2

interface FastEthernet0/1
 description Link to VRF_Router
 ip address 10.0.200.2 255.255.255.0
 speed 100
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

Now to the routing part:
At first you need an basic VRF lite config:

ip vrf vrf1
rd 1:1
route-target export 1:1
route-target import 1:1
!
ip vrf vrf2
rd 2:2
route-target export 2:2
route-target import 2:2

The two commands route-target export 2:2 and route-target import 2:2 can be summed up with the command "route-target both. In your config this will be automaticaly replaced with to commands shown.

In addition to this there is some IF configuration:

interface FastEthernet0/0
ip vrf forwarding vrf1
ip address 10.0.100.1 255.255.255.0
speed 100
full-duplex
!
interface FastEthernet0/1
ip vrf forwarding vrf2
ip address 10.0.200.1 255.255.255.0
speed 100
full-duplex

The command ip vrf forwarding [vrf_name] associates the IF into a VRF so the traffic is marked up.

Now you need to set up the routing. There for you only need a route for each VRF pointing on the IF and Next-Hop-IP of the targeted VRF.

ip route vrf vrf1 10.0.200.0 255.255.255.0 FastEthernet0/1 10.0.200.2

ip route vrf vrf2 10.0.100.0 255.255.255.0 FastEthernet0/0 10.0.100.2

And thats all. If you issue the command show ip route.

VRF_Router#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

VRF_Router#

You'll see an empty global routing table. If you add show ip route vrf [vrf_name]. As example only the output of one vrf:

VRF_Router#show ip route vrf vrf1

Routing Table: vrf1

[... snip ...]

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 2 subnets
C 10.0.100.0 is directly connected, FastEthernet0/0
S 10.0.200.0 [1/0] via 10.0.200.2, FastEthernet0/1
VRF_Router#

Note that it says explictly which routing table it's showing you and you have one extra routing table for each VRF.

If there are any open questions left, just use the commenting funtion

Regrads,
Zif

DE - Task 2.2.1 hinzufügen der VPN Edge Geräte

2009-04-24T10:56:00.005+02:00

Entschuldigung, dass das letzte Post zum Thema so lang her ist, ich hoffe es stört nicht allzu sehr. Prinzipiell sind die Konfigs fertig nur das dokumentieren nervt furchtbar :)
Wir fangen mit unserem Netzwerk aus dem letzten Task an, das heißt wir haben 3 Router und eine PIX die untereinander OSPF sprechen (LINK).

Zuerst werden wir die VPN Endgeräte hinzufügen, so das wir später unser Sicherheitskonzept auf das ganze Netzwerk ausrollen können.

Die Router sind an sich sehr einfach konfiguriert und ich werde nicht tiefer darauf eingehen. Wir konfigurieren wie übliche, die Interfaces für externe und interne Kommunikation, OSPF und zum Schluss sollten wir einen blick auf die anderen Router werfen ob die Routen alle sauber übertragen werden.
Näheres zum Konfigurieren der Router lässt sich unter Task 2.1 finden.

VPN Edge Router 1 - R_VPN_1

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R_VPN_1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
no logging console
no logging monitor
!
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name Task2.local
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface Loopback0
description ### Loop 0 for MGMT ###
ip address 10.99.99.4 255.255.255.255
!
interface FastEthernet0/0
description ### Uplink ISP 1 ###
ip address 192.168.11.2 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet0/1
description ### Uplink ISP 2 ###
ip address 192.168.22.2 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet1/0
description ### Uplink to R_Outer_Core_1 ###
ip address 10.1.0.2 255.255.255.252
speed 100
full-duplex
!
interface FastEthernet2/0
description ### Uplink to R_Outer_Core_2 ###
ip address 10.1.0.10 255.255.255.252
speed auto
full-duplex
!
router ospf 100
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 10.1.0.0 0.0.0.3 area 0
network 10.1.0.8 0.0.0.3 area 0
network 10.99.99.4 0.0.0.0 area 0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.11.1
ip route 0.0.0.0 0.0.0.0 192.168.22.1 10
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
ntp server 10.99.99.1 prefer

VPN Edge Router 2 - R_VPN_2

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R_VPN_2
!
no logging console
no logging monitor
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name Task2.local
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface Loopback0
description ### Loop 0 for MGMT ###
ip address 10.99.99.5 255.255.255.255
!
interface FastEthernet0/0
description ### Uplink ISP 1 ###
ip address 192.168.11.3 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet0/1
description ### Uplink to ISP 2 ###
ip address 192.168.22.3 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet1/0
description ### Uplink to R_Outer_Core_1 ###
ip address 10.1.0.6 255.255.255.252
speed 100
full-duplex
!
interface FastEthernet2/0
description ### Uplink to R_Outer_Core_2 ###
ip address 10.1.0.14 255.255.255.252
speed 100
full-duplex
!
router ospf 100
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 10.1.0.4 0.0.0.3 area 0
network 10.1.0.12 0.0.0.3 area 0
network 10.99.99.5 0.0.0.0 area 0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.11.1
ip route 0.0.0.0 0.0.0.0 192.168.22.1 10
!
!
no ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
ntp server 10.99.99.1 prefer

Das war es im großen und ganzen, wir haben nun 5 Router und eine PIX, auf diesem Netzwerk Sicherheit zu implementieren ist etwas aufwändiger und bekommt daher einen eigenen Blogeintrag.

cheers
NWG

EN - Task 2.2.1 adding VPN Edge devices

2009-04-24T10:34:00.005+02:00

Well it has been a while since the last task update and I hope you don´t mind to much.
So we start with our network from last time, this means 3 routers and a pix running OSPF. (LINK)

First of all we will add the two VPN Edge devices, so that we can build security concept for the complete network.
The Routers are set up quit easily and i won´t explain in detail what to do on those machines. We will do the usual stuff like setting up network interfaces for internal and external communication, add OSPF and have a look on the other routers to see if the routes are propagated as expected. Fore more information about see the Task 2.1 Post.

VPN Edge Router 1 - R_VPN_1

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R_VPN_1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
no logging console
no logging monitor
!
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name Task2.local
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface Loopback0
description ### Loop 0 for MGMT ###
ip address 10.99.99.4 255.255.255.255
!
interface FastEthernet0/0
description ### Uplink ISP 1 ###
ip address 192.168.11.2 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet0/1
description ### Uplink ISP 2 ###
ip address 192.168.22.2 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet1/0
description ### Uplink to R_Outer_Core_1 ###
ip address 10.1.0.2 255.255.255.252
speed 100
full-duplex
!
interface FastEthernet2/0
description ### Uplink to R_Outer_Core_2 ###
ip address 10.1.0.10 255.255.255.252
speed auto
full-duplex
!
router ospf 100
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 10.1.0.0 0.0.0.3 area 0
network 10.1.0.8 0.0.0.3 area 0
network 10.99.99.4 0.0.0.0 area 0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.11.1
ip route 0.0.0.0 0.0.0.0 192.168.22.1 10
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
ntp server 10.99.99.1 prefer

VPN Edge Router 2 - R_VPN_2

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R_VPN_2
!
no logging console
no logging monitor
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name Task2.local
!
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface Loopback0
description ### Loop 0 for MGMT ###
ip address 10.99.99.5 255.255.255.255
!
interface FastEthernet0/0
description ### Uplink ISP 1 ###
ip address 192.168.11.3 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet0/1
description ### Uplink to ISP 2 ###
ip address 192.168.22.3 255.255.255.128
speed 100
full-duplex
!
interface FastEthernet1/0
description ### Uplink to R_Outer_Core_1 ###
ip address 10.1.0.6 255.255.255.252
speed 100
full-duplex
!
interface FastEthernet2/0
description ### Uplink to R_Outer_Core_2 ###
ip address 10.1.0.14 255.255.255.252
speed 100
full-duplex
!
router ospf 100
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 10.1.0.4 0.0.0.3 area 0
network 10.1.0.12 0.0.0.3 area 0
network 10.99.99.5 0.0.0.0 area 0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.11.1
ip route 0.0.0.0 0.0.0.0 192.168.22.1 10
!
!
no ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
!
ntp server 10.99.99.1 prefer

Well thats it for now. Since adding security to those devices is a larger task I´ll create a new blog post about this topic.

cheers NWG

EN/DE - Twitter

2009-04-24T00:24:00.000+02:00

You may notice that I´ve added a new blogroll entry. I´ve started to twitter, lets see if I have enough time to do this. Have a look, If you like Link

Es mag vielleicht aufgefallen sein , Ich habe einen neuen Eintrag in die Blogroll aufgenommen. Es ist ein direkter Link zu meinem Tweet. Mal sehen ob ich noch ein bisschen Zeit finde um das ernst zu betreiben.

Cheers NWG

DE - NEUES aus dem Netz- ASA 8.2 und das neue IPS für die ASA 5505

2009-04-23T00:20:00.002+02:00

In den meisten englischen Blogs ist es seit 2 Tage ein großes Thema, die aktuellen Ankündigungen von Cisco zum Security Bereich. Zwei der wichtigsten Themen (aus meiner Sicht) sind

Die neuen Features des ASA 8.2 Releases
Eigentlich sollte die Version 8.2 bereits zum Download angeboten sein aber mein CCO Account weis noch nichts davon. Na mal sehen wann das Release kommt und ich ein wenig damit rumspielen kann. Leider ist das ASA only so das man es nicht in Pemu verwenden kann. Egal!
Das wichtigste Feature ist wohl der Botnet Filter, der die Kommunikation von bereits infizierten Geräten zu den Botnetzen unterbinden soll.
Außerdem klingt der TCP State Bypass ganz interessant, aber das muss ich dann in der echten Welt zeigen.

Das zweites Highlight ist das IPS für die ASA 5505
Vor einer weile hab ich schon einmal Gerüchte über ein IPS für die ASA 5505 gehört und nun ist offiziell für den Mai angekündigt. Persönlich finde ich die Idee großartig und hoffe das sie vom Markt angenommen wird (und das sie nicht zu teuer wird).

Cisco Q&A about the new features and the ASA 5505 IPS + more
ASA 8.2 Image Features

Thanks for the information to Jamey Heary at Networkworld

Cheers
NWG

EN - NEWS from the Web - ASA 8.2 and IPS for ASA 5505

2009-04-22T23:11:00.006+02:00

Well you may have heard from several other blogs and news sites that Cisco announced some new interesting features for the ASA Firewalls. Among some other the key things that are interesting for me (personal) are

ASA 8.2 main feature
Basing on the ASA Q+A this ASA Image should be available already but my CCO account shows nothing for the ASA to download. Hope that this image will be available soon for test deployment.
Some features that really are worth a second look.
First to mention is Botnet Filtering that by design should prevent traffic from a already infected machine to the Botnets.
Interesting sounds the TCP State bypass but this will need some hands on to check :)
Some drawback, ASA 8.2 is an ASA only image so no support in PEMU

ASA 5505 IPS
I´ve heard rumors about it and the empty slot was obvious for some add on. Well now you can have a look at the brand new Cisco ASA 5505 IPS module. I think this is a great feature for the ASA 5505, I know some customers that are looking for this feature and I hope that the market accepts the IPS.

Cisco Q&A about the new features and the ASA 5505 IPS + more
ASA 8.2 Image Features

Thanks for the information to Jamey Heary at Networkworld

Cheers
NWG

EN - cast away in ROMMON

2009-04-22T16:35:00.006+02:00

Hey,

today I was cought up in rommon in a router configuration.
I had to config 3 2651 routers. One of them had a corrupt IOS file and booted to ROMMON only.

I feares I had to use a xmodem connection to get an new IOS loaded to the flash, but luckily there is a posibility to use TFTP in ROMMON. To get the following commands working, the IP connectivity must be working, eg Routing from/to the TFTP server.

Your prompt should look like: rommon 1 >
Now you have to assign all essential informations to it:

IP_ADDRESS=192.168.100.1
IP_SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY=192.168.100.2
TFTP_SERVER=192.168.100.2
TFTP_FILE=c2600-i-mz.123-26.bin
tftpdnld

The last command starts the transfer and if its finished enter reset.

Now the router is booting with its brand new IOS.

have fun,
Zif

DE – "Wiederherstellen" des Pre Shared Keys auf der ASA

2009-04-21T23:55:00.001+02:00

Es soll ja vorkommen das man nach zu viel Arbeit noch etwas an der Konfig ändern will und dann einem Flüchtigkeitsfehler unterlaufen. Besonders gern passiert so was bei Copy+Paste Aktionen. Vor einiger ist es mir auch schon passiert, bei der Erstellung einer Tunnelgruppe bei der ich alle Parameter aus einer alten Tunnelgruppe kopierte habe ich den Pre Shared Key der alten Gruppe aus versehen überschrieben. Wie kann man diesen Key wieder herstellen, ein show run
zeigt nur ein * als pre shared key.
Aber so lässt sich der Key auch anzeigen:

copy startup flash:/startup_bck.cfg
more flash:/startup_bck.cfg

Nun einfach nur noch runter scrollen bis zu den Tunnel Gruppen und dann den Key wieder an die richtige Stelle kopieren.
Das ganze Funktioniert natürlich nur solange kein copy run start oder wr mem ausgeführt wurde.

Immer daran denken die Datei nach Verwendung wieder von Flash zu löschen

Cheers
NWG

EN - How to "recover" ASA Pre Shared Key

2009-04-21T23:29:00.004+02:00

If you´ve ever done a configuration to late at night and did some copy+paste you might had the same problem I´ve had some days ago.
I was creating a new VPN tunnel and generally was copy and pasting the settings from an old tunnel. Accidentally I kicked out the pre shared key from the original tunnel (learned lesson: always check twice what you paste).
So how to fix this problem. This is not that simple since a show run will just give you a * as pre shared key.
Anyway do the following:

copy startup flash:/startup_bck.cfg
more flash:/startup_bck.cfg

scroll down to your tunnel groups and you will get the plain password. If you copy and past this password into your running tunnel group configuration your tunnel should be working in no time.
It is only possible to do this if you did not issue a copy run start or wr mem.

Remember to delete that file if you don´t need it anymore.

Cheers
NWG

DE - VPN on a stick mit Cisco PIX und ASA

2009-04-15T00:45:00.001+02:00

Vor einer Weile hat Zif ja die "Router on a stick" Konfiguration gepostet. Ich will die Gelegenheit nutzen, um etwas wesentlich Interessanteres darzustellen, die "VPN on a Stick" Konfiguration auf der Cisco ASA bzw. PIX.

Was bedeutet VPN on a Stick genau, nun es handelt sich dabei um die Konfiguration des VPN so das der VPN Nutzer sich durch das VPN Gateway auf das Internet zugreifen kann. Besonders ist daran, das der VPN Nutzer die Appliance nicht wirklich verlässt sonder direkt über das eingehende Interface wieder hinaus geht. In anderen fällen wird das ganze auch Hairpinning genannt.

Konfiguration.
Zuerst muss das erledigt werden was auf jeder ASA/PIX notwendig ist, also so etwas wie Interface Konfiguration usw.
Grundlegend ist das überall gleich aber unterscheidet sich doch zwischen ASA, PIX und ASA 5505, die Unterschiede werde ich hier posten, aber für genauere Unterschiede werft doch einen Blick auf CISCO.com.

ASA 5510 oder höher


interface ethernet 0/0
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
interface ethernet 0/1
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0

ASA 5505


interface vlan 10
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
interface vlan 20
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0

PIX


interface ethernet 0
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
  no shutdown
interface ethernet 1
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0
  no shutdown

global (outside) 1 interface
nat (inside) 1 192.168.0.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.255.255.254 
! 10.255.255.254 ist der nächste Hop, der Router des Providers

crypto ipsec transform-set ESP-AES256-MD5 esp-aes-256 esp-md5-hmac

crypto dynamic-map DynOutsideMap 100 set transform-set ESP-AES256-MD5
! Konfiguration für den dynamischen VPN Client
!
crypto map OutsideMap 65535 ipsec-isakmp dynamic DynOutsideMap
crypto map OutsideMap interface outside
! Konfiguration der Crypto Map die auf dem Outside Interface gebunden wird

crypto isakmp enable outside
crypto isakmp policy 100
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400

Das ist die Grundlage die fast überall benötigt wird. Als nächstes müssen die spezifischen VPN Parameter konfiguriert werden.


ip local pool POOL_VPN_Client 192.168.1.1-192.168.1.254 mask 255.255.255.0

group-policy GPOL_VPN_Client internal
group-policy GPOL_VPN_Client attributes
 split-tunnel-policy tunnelall

tunnel-group GRP_VPN_Client type remote-access
tunnel-group GRP_VPN_Client general-attributes
  default-group-policy GPOL_VPN_Client
  address-pool POOL_VPN_Client
tunnel-group GRP_VPN_Client ipsec-attributes
  pre-shared-key DoNotUseMe

So weit so gut, der Client sollte nun in der Lage sein eine Verbindung zur ASA oder PIX aufzubauen (noch keine wirkliche VPN Verbindung). Es bedarf natürlich noch einen User für die Verbindung. AAA wäre eine Lösung, aber für dieses Beispiel bleiben wir bei der LOCAL Lösung.

username VPNUser password none priv 1

Jetzt etwas interessantes, NAT.
Wir vermuten einfach mal das auf der ASA/ PIX NAT gemacht wird (wird es ja meistens), so muss nun eine NAT Ausnahme konfiguriert werden, damit der VPN Client die internen Hosts erreichen kann.


Object-group network OBJ_VPN_Client
 network 192.168.1.0 255.255.255.0
Object-group network OBJ_LAN
 network 192.168.0.0 255.255.255.0

access-list NO_nat_inside remark ### NAT exceptions ###
access-list NO_nat_inside permit ip object-group OBJ_LAN object-group OBJ_VPN_Client

So nun sind wir fast durch, noch das NAT Statement hinzufügen.


nat (outside) 1 192.168.1.0 255.255.255.0
! NAT auf dem Outside interface damit der VPN Nutzer eine öffentliche IP 
! erhält
nat (inside) 0 access-list NO_nat_inside

Jetzt noch die Standard Regel "Kein Traffic zwischen Interfaces mit dem gleichen Sicherheitslevel" aufheben.

same-security-traffic permit intra-interface

Das war es also!

Ich hoffe es hat gefallen und danke für die Aufmerksamkeit :D

Vollständige PIX Konfiguration

EN - VPN on a stick with Cisco PIX and ASA

2009-04-14T00:39:00.005+02:00

Well since Zif was doing the "Router on a stick" configuration, I'd like to share with you the much cooler "VPN on a Stick" configuration on the ASA/ PIX.

What does VPN on a stick mean. Well it means that if you connect to a VPN gateway your traffic will run across this gateway and will be forwarded into the Internet (if you try to connect to the Internet). Why is it named "on a stick" this is because you enter the VPN gateway (ASA/Pix) on the
outside interface an you leave it the same way without accessing the private LAN Sometimes it called hair pinning (if you enter an other VPN connection)

So what do we need? First of all an ASA/ PIX and second a VPN Client.

Configuration.
First we´ll have to do some fluff stuff like creating interfaces etc. This is depending on your hardware slightly different. I´ll post the differences here but for later configs please have a look at CISCO.com

ASA 5510 or higher


interface ethernet 0/0
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
interface ethernet 0/1
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0

ASA 5505


interface vlan 10
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
interface vlan 20
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0

PIX


interface ethernet 0
  description ### Outside Interface ###
  nameif outside
  ip address 10.255.255.2 255.255.255.0
  no shutdown
interface ethernet 1
  description ### Inside Interface ###
  nameif inside
  ip address 192.168.0.1 255.255.255.0
  no shutdown

global (outside) 1 interface
nat (inside) 1 192.168.0.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.255.255.254 
! 10.255.255.254 is the next hop router from the ISP

crypto ipsec transform-set ESP-AES256-MD5 esp-aes-256 esp-md5-hmac

crypto dynamic-map DynOutsideMap 100 set transform-set ESP-AES256-MD5
! configuration for dynamic Clients like the Cisco VPN Client
!
crypto map OutsideMap 65535 ipsec-isakmp dynamic DynOutsideMap
crypto map OutsideMap interface outside
! configuration of the over all Crypto Map that is applied on the outside Interface

crypto isakmp enable outside
crypto isakmp policy 100
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400

Thats the basic part that you need nearly everywhere. Next step would be to configure the specific parameters for your VPN client.


ip local pool POOL_VPN_Client 192.168.1.1-192.168.1.254 mask 255.255.255.0

group-policy GPOL_VPN_Client internal
group-policy GPOL_VPN_Client attributes
 split-tunnel-policy tunnelall

tunnel-group GRP_VPN_Client type remote-access
tunnel-group GRP_VPN_Client general-attributes
  default-group-policy GPOL_VPN_Client
  address-pool POOL_VPN_Client
tunnel-group GRP_VPN_Client ipsec-attributes
  pre-shared-key DoNotUseMe

So far, so good, your client should now be able to connect to your ASA or Pix but well, nothing more.
You still need to add a User that is allowed to log in. You could use AAA but for this scenario we stick to LOCAL users.

username VPNUser password none priv 1

Now lets start with the interesting parts
Assuming that you do NAT on your ASA/ Pix you need to configure a NAT exception so that you can access your hosts on the inside interface from your VPN Client.

I tend to use objects groups quite a lot since they enable you to quick change a lot of ACLs. For this reason I´ll set up some object groups and use them later.


Object-group network OBJ_VPN_Client
 network 192.168.1.0 255.255.255.0
Object-group network OBJ_LAN
 network 192.168.0.0 255.255.255.0

access-list NO_nat_inside remark ### NAT exceptions ###
access-list NO_nat_inside permit ip object-group OBJ_LAN object-group OBJ_VPN_Client

So we are nearly through add a new NAT statement


nat (outside) 1 192.168.1.0 255.255.255.0
! NAT on interface outside so that your VPN User get your public IP
nat (inside) 0 access-list NO_nat_inside

Finlay disable the default rule "No traffic between interfaces with the same security level".

same-security-traffic permit intra-interface

Thats it!

Hope you enjoyed and thanks for your attention.

Full PIX configuration

DE - Task 2.1 - Grundlegendes OSPF zwischen Routern und ASA

2009-04-11T01:26:00.006+02:00

In diesem Kapitel erarbeiten wir die Startkonfiguration wie sie beim Kunden existiert, mit kleinen Abänderungen um dem Blogthema gerecht zu werden.
Das Startnetzwerk besteht aus 3 Routern und 1 PIX die den Internetzugriff realisiert.

Wie bereits erwähnt stimmt das Netzwerk nicht zu 100 % mit dem des Kunden überein. Wir verwenden für die Bereiche Inner Core Routing und Outer Core Routing Cisco 3660 Router mit einem 12.3.26 IOS. Beim Kunden befinden sich in beiden Bereiche nicht nur Cisco Router sondern auch Geräte anderer Hersteller und natürlich sind es nicht nur 3 Geräte. Alle 3660 Router haben in den vorhanden Slots je 2 zusätzliche Fastethernet Interfaces installiert.

Das zentrale Internet Gateway wird wie bereits erwähnt von einer PIX 525 gestellt, diese läuft mit der Version 7.2.4 der PIX Software.

Zwischen allen Geräten wurden Transfernetze angelegt die genau groß genug sind um 2 IPs zu enthalten, sprich es wird mit einer Netzmaske von 255.255.255.252 (/30) gearbeitet. Alle Verbindungen zwischen Inner Core und Outer Core liegen im Netzwerkbereich 10.0.0.0 255.255.0.0. Alle Verbindungen die den Core Bereich verlassen liegen im Netzbereich 10.1.0.0 255.255.0.0. Dies sind Verbindungen zu den später einzufügenden VPN-Edge Routern und der PIX.

Am Inner Core Router hängt außerdem noch das Netzwerk 172.16.0.0 /24, dieses Netzwerk beinhaltet die Management Server des Kunden, unter anderem den CISCO ACS (Version 4.2), einen MS Active Directory Server mit einer bereits installierten CA und einen weiteren Radius Server. Alle Server sind relevant für die spätere Anbindung der VPN Nutzer. Aber mehr davon in den nächsten Kapiteln.

Wir haben als 3 Cisco Router und eine PIX, wo fängt man am besten an? Natürlich mit den Standard Aufgaben die man bei jedem Gerät einpflegt. Nur als Info, ich werde in den folgenden Konfigs nur Änderungen von den Vorgaben von Cisco einpflegen.

2.1.1 Grundlagen Konfiguration für Hostname, Domainname NTP Settings und IP Interfaces auf Cisco Routern und PIX/ ASA Firewall

Router für den Inner Core Bereich - R_Inner_Core


! Hostname und Domain Konfiguration
! =================================
hostname R_Inner_Core
ip domain name Task2.local
!
! Kein DNS Lookup fuer Router
! ===========================
no ip domain lookup
!
! Interface Konfiguration
! =======================
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.1 255.255.255.255
!
interface FastEthernet0/0
 description ### Uplink R_Outer_Core_1 ###
 ip address 10.0.0.1 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet0/1
 description ### Uplink R_Outer_Core_2 ###
 ip address 10.0.0.5 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet1/0
 description ### Uplink to internet gateway PIX ###
 ip address 10.0.0.13 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet2/0
 description ### Connection to Server Network ###
 ip address 172.16.0.5 255.255.255.0
 speed 100
 full-duplex
 no shutdown
!
! Konfiguration der NTP Einstellungen
! ===================================
ntp server 192.53.103.108 prefer
ntp server 192.53.103.104
! external NTP Server

Router für den Netzwerkbereich Outer Core Routing - R_Outer_Core_1 und R_Outer_Core_2


! Hostname und Domain Konfiguration
! =================================
hostname R_Outer_Core_1
ip domain name Task2.local
!
! Kein DNS Lookup fuer Router
! ===========================
no ip domain lookup
!
! Interface Konfiguration
! =======================
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.2 255.255.255.255

!
interface FastEthernet1/0
 description ### Link to R_Inner_Core ###
 ip address 10.0.0.2 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet2/0
 description ### inter Link to R_Outer_Core_2 ###
 ip address 10.0.0.9 255.255.255.252
 full-duplex
 speed 100
 no shutdown 
!
! Konfiguration der NTP Einstellungen
! ===================================
ntp server 10.99.99.1 prefer
! Hier fällt gleich auf das als NTP Quelle der Router R_Inner_Core verwendet
! wird. Damit werden die Zugriffe der Router auf das Internet minimiert

Als letztes kommt Router R_Outer_Core_2


! Hostname und Domain Konfiguration
! =================================
hostname R_Outer_Core_2
ip domain name Task2.local
!
! Kein DNS Lookup fuer Router
! ===========================
no ip domain lookup
!
! Interface Konfiguration
! =======================
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.3 255.255.255.255
!
interface FastEthernet1/0
 description ### Link to R_Inner_Core ###
 ip address 10.0.0.6 255.255.255.252
 speed 100
 full-duplex
 no shutdown
!
interface FastEthernet2/0
 description ### inter Link to R_Outer_Core_1 ###
 ip address 10.0.0.10 255.255.255.252
 speed 100
 full-duplex
 no shutdown
!
! Konfiguration der NTP Einstellungen
! ===================================
ntp server 10.99.99.1 prefer

Als letztes wird die PIX das Internet Gateway konfiguriert - FW-GW-1


! Hostname und Domain Konfiguration
! =================================
hostname FW-GW-1
domain-name Task2.local
!
! Interface Konfiguration
! =======================
interface Ethernet0
 description ### Central Breakout Point ###
 speed 100
 duplex full
 nameif IF_Outside
 security-level 0
 ip address 192.168.33.2 255.255.255.240
 no shutdown
!
interface Ethernet1
 description ### Link to Core Router ###
 speed 100
 duplex full
 nameif IF_Inside
 security-level 100
 ip address 10.0.0.14 255.255.255.252
 no shutdown
!
! Default Route für unbekannten Traffic
! =====================================
route IF_Outside 0.0.0.0 0.0.0.0 192.168.33.1 1
! 192.168.33.1 ist der Nächste Hop, der Router des ISP

Ab jetzt sollte es möglich sein von jedem gerät die direkt verbundenen Geräte anzupingen.

Es fällt auf das auf der PIX noch kein NAT konfiguriert ist. Das werden wir später nachholen.

2.1.2 OSPF zwischen Cisco Routern und PIX/ ASA

Nachdem wir die grundlegende Konfiguration der Router und der PIX /ASA hinter uns haben, geht es nun weiter mit OSPF. Mehr Informationen über Grundlagen Konfigurationvon Routern werft einen Blick in ZIFs Blog Eintrag von vor einigen Tagen.

OSPF ist recht einfach zu konfigurieren!
Als erstes muss ein Routing Prozess definiert werden, in diesem wird festgelegt welche Routen der Router mitteilen soll und wenn alle richtig gemacht wurde, war es das schon.

R_Inner_Core


! Erzeugen des Routing Prozesses
router ospf 100
! definieren der Router ID
 router-id 10.99.99.1
! Konfigurieren des Loggings
 log-adjacency-changes
! Bestimmen was der Router bekannt geben soll
 redistribute connected subnets
 redistribute static subnets
! keine Routing Updates für Interface Loopback 0
 passive-interface Loopback0
!
! Bestimmen welche Netzwerk an dem Router hängen. Wird ein Netzwerk hier nicht
! eingepflegt wird dort kein Routing ausgeführt.
!
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.4 0.0.0.3 area 0
 network 10.0.0.13 0.0.0.3 area 0
! Auch das Loopback Interface (Netzwerk mit 32er Maske) wird bekannt gegeben
 network 10.99.99.1 0.0.0.0 area 0
 network 172.16.0.0 0.0.0.255 area 0

Fast das gleiche wird auf den anderen Routern R_Outer_Core_1 und R_Outer_Core_2 konfiguriert.

R_Outer_Core_1


router ospf 100
 router-id 10.99.99.2
 log-adjacency-changes
 redistribute connected subnets
 redistribute static subnets
 passive-interface Loopback0
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.8 0.0.0.3 area 0
 network 10.99.99.2 0.0.0.0 area 0

R_Outer_Core_2


router ospf 100
 log-adjacency-changes
 redistribute connected subnets
 redistribute static subnets
 passive-interface Loopback0
 network 10.0.0.4 0.0.0.3 area 0
 network 10.0.0.8 0.0.0.3 area 0
 network 10.99.99.3 0.0.0.0 area 0

Als letztes wird die PIX/ ASA dem OSPF Netzwerk hinzugefügt.
FW-GW-1


! erzeugen des Routing Prozesses
router ospf 100
! Definieren der Router ID 
! Hinweis: da auf der ASA / PIX keine Loopback Interfaces angelegt werden 
!          können, kann man hier den Hostnamen oder ein anderes Interface nehmen
 router-id 10.0.0.14
 network 10.0.0.12 255.255.255.252 area 0
 log-adj-changes
 redistribute static subnets
! hier wird eine Defaultroute in das OSPF Netzwerk eingepflegt so das das
! Internet über DIESE PIX / ASA erreicht werden kann.
 default-information originate

Das war es auch schon mit der grundlegenden OSPF Konfiguration. Es sollte nun möglich sein von jedem Gerät jedes andere Gerät anzupingen.

Nach dem Aufruf des Befehls show ip route auf R_Inner_Core sollte die Ausgabe etwa dieses Format haben.


R_Inner_Core#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.0.0.14 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.0.0 is directly connected, FastEthernet2/0
     10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks
O       10.0.0.8/30 [110/2] via 10.0.0.6, 00:01:18, FastEthernet0/1
                    [110/2] via 10.0.0.2, 00:01:18, FastEthernet0/0
C       10.0.0.12/30 is directly connected, FastEthernet1/0
O       10.99.99.2/32 [110/2] via 10.0.0.2, 00:01:18, FastEthernet0/0
O       10.99.99.3/32 [110/2] via 10.0.0.6, 00:01:18, FastEthernet0/1
C       10.0.0.0/30 is directly connected, FastEthernet0/0
C       10.99.99.1/32 is directly connected, Loopback0
C       10.0.0.4/30 is directly connected, FastEthernet0/1
O*E2 0.0.0.0/0 [110/1] via 10.0.0.14, 00:01:18, FastEthernet1/0

O*E2 0.0.0.0/0 [110/1] via 10.0.0.14, 00:01:18, FastEthernet1/0 ist die Interessanteste Route von allen. Sie besagt das jede unbekannte IP über die PIX erreicht werden kann. Es handelt sich hierbei um die vorhin angesprochende Default Route.

2.1.3 Anschliesen der Internetverbindung

Wenn OSPF läuft und alle Router die Route zum Internet kennen muss eigentlich nur noch NAT auf der ASA / PIX konfiguriert werden um den Router auch Internetzugriff zu ermöglichen.
NAT ist notwendig da unser Netzwerk mit privaten Adressen gestaltet ist und diese bekanntermassen nicht ins Internet geroutet werden. Wir benutzen an dieser Stelle eine Unterart des NAT nämlich PAT (Port Address Translation).

Nehmen wir an das unser Provider uns das Netzwerk 192.168.33.0 255.255.255.240 zur Verfügung gestellt hat und sein Router in dem Netz die 192.168.33.1 benutzt. Das bedeutet das unserem Netzwerk noch die IPs von 192.168.33.2- 192.168.33.14 zur Verfügung stehen.

Für das PAT werden wir die 192.168.33.3 benutzen, das sollte eigentlich reichen. Als zweiten Schritt müssen wir bestimmen welche Netze umgesetzt werden sollen. Natürlich alle Netzwerk die intern sind.


global (IF_Outside) 1 192.168.33.3
nat (IF_Inside) 1 0.0.0.0 0.0.0.0
! übersetze jede IP die über das Interface IF_Inside kommt 
! in die Öffentliche Adresse + Port

Da wir noch keinen ISP Router konfiguriert haben, können wir NAT nur mit den Befehl show nat überprüfen.
Der Befehl sollte folgenden Output zurück geben:


show nat

NAT policies on Interface IF_Inside:
  match ip IF_Inside any IF_Outside any
    dynamic translation to pool 1 (192.168.33.3)

Gut das war´s. Mit dem nun funktionierenden Netzwerk, können wir später weiterarbeiten.

Netzwerk Diagramm:

Hier könnt ihr noch einmal die gesamte Konfiguration der Router herunterladen:
LINK: R_Inner_Core
LINK: R_Outer_Core_1
LINK: R_Outer_Core_2
LINK: FW-GW-1

Bald gibt es mehr. Wie immer sind Kommentare, Hinweise und natürlich Fragen sehr willkommen

Cheers NWG

EN - Task 2.1 - Basic OSPF routing between router and ASA

2009-04-08T01:54:00.016+02:00

This is the initial configuration from where we will start to deploy our scenario. We´ve got 3 router and one PIX, this pix is doing the uplink to the Internet.

As mentioned earlier this is a scheme that has been slightly changed to fit into this blog. Both inner and outer core routers are not only Cisco routers, as well as the used firewall is in the real world no ASA or PIX. Since we are focusing on Cisco this facts have been ignored and we stick to Cisco routers, PIXs and ASAs.
In this example the inner core routing network is represented by one 3660 router running IOS 12.3.26 The outer core routing network consist of 2x 3660 routers also running IOS 12.3.26. All 3660 got 2 additional Fast Ethernet Interfaces installed. Finally the firewall is a Cisco PIX 252 running 7.2.4.

Between the routers their are transfer networks, just big enough to hold 2 IP addresses, this means we use a 255.255.255.252 (/30)mask for those networks. All connections between inner and outer core as well as within the outer core are located in the network 10.0.0.0 255.255.0.0. Connections leaving the core network are usually 10.1.0.0 255.255.0.0 most times this is used for links to the edge devices like the PIX and later on to connect the VPN edge routers.

Attached to the inner core router is the network 172.16.0.0 /24 this network holds the customers servers like the Cisco ACS (version 4.2) an MS Active Directory Server (Server 2003)with a certification authority configured as well as a free radius server. All Servers will be used later for the VPN User configuration. But this will be important later.

So we´ve got 3 routers and a PIX. Where to start? Well we start with common tasks configuration of hostnames, domain names and interfaces. I´ll just post the changes I´ve made, no defaults included.

2.1.1 Basic Configuration including Hostname, Domainname, NTP Settings and IP Interfaces on Routers and PIX /ASA Firewalls

Router for the inner core area - R_Inner_Core


! Hostname and Domain configuration
! =================================
hostname R_Inner_Core
ip domain name Task2.local
!
! No hostname lookup for routers
! ==============================
no ip domain lookup
!
! Interface configuration
! =======================
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.1 255.255.255.255
!
interface FastEthernet0/0
 description ### Uplink R_Outer_Core_1 ###
 ip address 10.0.0.1 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet0/1
 description ### Uplink R_Outer_Core_2 ###
 ip address 10.0.0.5 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet1/0
 description ### Uplink to internet gateway PIX ###
 ip address 10.0.0.13 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet2/0
 description ### Connection to Server Network ###
 ip address 172.16.0.5 255.255.255.0
 speed 100
 full-duplex
 no shutdown
!
! configuration for NTP settings
! ==============================
ntp server 192.53.103.108 prefer
ntp server 192.53.103.104
! external NTP Server

So first router done, to more to go.

Routers for the outer routing Network R_Outer_Core_1 and R_Outer_Core_2


! Hostename and domain configuration
! ==================================
hostname R_Outer_Core_1
ip domain name Task2.local
!
! No hostname lookup for routers
! ==============================
no ip domain lookup
!
! Interface configuration
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.2 255.255.255.255

!
interface FastEthernet1/0
 description ### Link to R_Inner_Core ###
 ip address 10.0.0.2 255.255.255.252
 full-duplex
 speed 100
 no shutdown
!
interface FastEthernet2/0
 description ### inter Link to R_Outer_Core_2 ###
 ip address 10.0.0.9 255.255.255.252
 full-duplex
 speed 100
 no shutdown 
!
! NTP Settings
! ============
ntp server 10.99.99.1 prefer
! You may note that the NTP server is the inner core router R_Inner_Core. 
! This is to limit access to public resources.

Last router to be configured R_Outer_Core_2


! Hostname and domain name configuration
! ======================================
hostname R_Outer_Core_2
ip domain name Task2.local
!
! No hostname lookup for routers
! ==============================
no ip domain lookup
!
! Interface configuration
! =======================
interface Loopback0
 description ### Loop 0 for MGMT ###
 ip address 10.99.99.3 255.255.255.255
!
interface FastEthernet1/0
 description ### Link to R_Inner_Core ###
 ip address 10.0.0.6 255.255.255.252
 speed 100
 full-duplex
 no shutdown
!
interface FastEthernet2/0
 description ### inter Link to R_Outer_Core_1 ###
 ip address 10.0.0.10 255.255.255.252
 speed 100
 full-duplex
 no shutdown
!
! NTP Settings
! ============
ntp server 10.99.99.1 prefer

Last configured is the Internet Gateway in this scenario the PIX FW-GW-1


! Hostname and domain configuration
! =================================
hostname FW-GW-1
domain-name Task2.local
!
! Interface Configuration
! =======================
interface Ethernet0
 description ### Central Breakout Point ###
 speed 100
 duplex full
 nameif IF_Outside
 security-level 0
 ip address 192.168.33.2 255.255.255.240
 no shutdown
!
interface Ethernet1
 description ### Link to Core Router ###
 speed 100
 duplex full
 nameif IF_Inside
 security-level 100
 ip address 10.0.0.14 255.255.255.252
 no shutdown
!
! Default route for any unknown traffic
! =====================================
route IF_Outside 0.0.0.0 0.0.0.0 192.168.33.1 1
! 192.168.33.1 is the next hop to the ISP

By now you should be able to ping any directly connected device from each machine.

As you may notice the PIX is not doing NAT, this will be configured in a separate step later on in this section.

2.1.2 OSPF between Cisco Routers and PIX/ ASA

After we´ve finished the basic steps of configuring routers and PIX/ ASA Firewalls we will move to OSPF. For more information on setting up a basic router configuration have a look at ZIFs post some days ago.

OSPF is quite easy to configure.
First of you need to define a routing process, the routes you like to redistribute and if everything is fine you should have OSPF running in no time.
As earlier mentioned in this configs I´ll just post changes from the default configuration.

R_Inner_Core


! define your routing process
router ospf 100
! set your router ID 
 router-id 10.99.99.1
! configure logging
 log-adjacency-changes
! define what you want to announce from this router
 redistribute connected subnets
 redistribute static subnets
! no routing updates on interface Loopback0
 passive-interface Loopback0
!
! define networks attached to your router, if you do not add a network 
! that is configured on one of your interfaces this interface will not be 
! part of your OSPF (obvious!)
!
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.4 0.0.0.3 area 0
 network 10.0.0.13 0.0.0.3 area 0
! announce even your loopback interface
 network 10.99.99.1 0.0.0.0 area 0
 network 172.16.0.0 0.0.0.255 area 0

The same is configured on router R_Outer_Core_1 and R_Outer_Core_2
R_Outer_Core_1


router ospf 100
 router-id 10.99.99.2
 log-adjacency-changes
 redistribute connected subnets
 redistribute static subnets
 passive-interface Loopback0
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.8 0.0.0.3 area 0
 network 10.99.99.2 0.0.0.0 area 0

R_Outer_Core_2


router ospf 100
 log-adjacency-changes
 redistribute connected subnets
 redistribute static subnets
 passive-interface Loopback0
 network 10.0.0.4 0.0.0.3 area 0
 network 10.0.0.8 0.0.0.3 area 0
 network 10.99.99.3 0.0.0.0 area 0

Finally add your PIX /ASA to the OSPF network.
FW-GW-1


! create your routing process
router ospf 100
! define your router ID | 
! NOTE: no loopback interfaces can be created on ASA and PIX 
!       you could use a hostname instead
 router-id 10.0.0.14
 network 10.0.0.12 255.255.255.252 area 0
 log-adj-changes
 redistribute static subnets
! Propagate a default route into the OSPF process so that every unknown IP 
! can be reached via THIS pix /ASA
 default-information originate

Well so much for basic OSPF. You should be able to ping every device in your network from every location.

If you issue a show ip route on R_Inner_Core the output should look like:


R_Inner_Core#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.0.0.14 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.0.0 is directly connected, FastEthernet2/0
     10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks
O       10.0.0.8/30 [110/2] via 10.0.0.6, 00:01:18, FastEthernet0/1
                    [110/2] via 10.0.0.2, 00:01:18, FastEthernet0/0
C       10.0.0.12/30 is directly connected, FastEthernet1/0
O       10.99.99.2/32 [110/2] via 10.0.0.2, 00:01:18, FastEthernet0/0
O       10.99.99.3/32 [110/2] via 10.0.0.6, 00:01:18, FastEthernet0/1
C       10.0.0.0/30 is directly connected, FastEthernet0/0
C       10.99.99.1/32 is directly connected, Loopback0
C       10.0.0.4/30 is directly connected, FastEthernet0/1
O*E2 0.0.0.0/0 [110/1] via 10.0.0.14, 00:01:18, FastEthernet1/0

O*E2 0.0.0.0/0 [110/1] via 10.0.0.14, 00:01:18, FastEthernet1/0 is one of the more interesting routes. This is the default route announced into the OSPF area by our PIX/ASA. As a consequence all traffic to unknown IPs will be send to the PIX/ASA.

2.1.3 Bringing up the Internet gateway

With OSPF running and a default route pointing to the Internet propagated we just need some few adjustments on our PIX/ASA to allow Internet access.
First of all, since our network is running with private IPs, we need NAT to be configured. In this case PAT (port address translation) is the better term.

Assuming that our ISP offered us the network 192.168.33.0 255.255.255.240 and his router got the IP 192.168.33.1 we have left the IP range 192.168.33.2-192.168.33.14 for our use.

We will use the IP address 192.168.33.3 for the PAT configuration that should be enough for a while. Second step is to configure what source IP addresses will be NATed. Since this is the central breakout point the answer is obvious every IP!


global (IF_Outside) 1 192.168.33.3
nat (IF_Inside) 1 0.0.0.0 0.0.0.0
! translate every IP on the inside Interface into 
! the public IP + specific port

Since we've not configured the ISP router we check if NAT is correct configured by using show nat
This should return something like:


show nat

NAT policies on Interface IF_Inside:
  match ip IF_Inside any IF_Outside any
    dynamic translation to pool 1 (192.168.33.3)

All done now! You should have a running network from where we can go ahead.

Network Diagramm:

Attached you can find the configuration of our Routers and PIX
LINK: R_Inner_Core
LINK: R_Outer_Core_1
LINK: R_Outer_Core_2
LINK: FW-GW-1

More to come in a few days, feel free to post corrections, suggestions and of course questions.

Cheers NWG

DE - Kron zum automatischen Sichern von Konfigurationen

2009-04-06T02:21:00.003+02:00

Vor einigen Tagen habe ich die Frage gesehen ob man automatisch Konfigurationen wegsichern kann. Da ich schon einmal gelesen hatte das es geht hab ich die Infos hier einmal zusammengetragen. Der Schlüssel dafür heißt Kron


configure terminal
 kron policy-list SaveCFG 
  show run | redirect tftp://"yourTFTPServerIP"/backup.cfg
!
! An der Stelle muss show run + | eingesetzt werden 
! da der Kron Befehl keine interaktiven Befehle unterstützt
!
 kron occurrence SaveCFG at 00:00 mon recurring
 !
 ! dadurch wird der Kron Job jeden morgen ausgeführt
 !
  policy SaveCFG

Durch Aufrufen des Befehls
show kron schedule

kann man sich anzeigen lassen ob der Kron Job bereit ist.
SaveCFG inactive, will run again in 4 days 12:59:58 at 0 :00 on Mon

Debugs gehen wie so oft natürlich auch
debug kron all

hier sieht man, was gerade ausgeführt wird bzw. was geändert wird.

Kron oder einen ähnlichen Befehl gibt es leider soweit mir bekannt ist nicht für die ASA/ PIX Software.

cheers NWG

EN - kron to backup configuration automatically

2009-04-06T02:12:00.003+02:00

A few days ago a came across a nice little question. "Can We do an automatic backup from a config of a router to a tftp server"
Well "Yes we can" (sorry i couldn´t resist)
The key is the kron command


configure terminal
 kron policy-list SaveCFG 
  show run | redirect tftp://"yourTFTPServerIP"/backup.cfg
!
! We´ve got to use Show run + | 
! because Kron does not support interactive commands like copy
!
 kron occurrence SaveCFG atjavascript:void(0) 00:00 mon recurring
 !
 ! this causes the kron job to run every monday at 0:00
 ! 
  policy SaveCFG

You can verify if your kron job is working with a

show kron schedule

and get the response

SaveCFG inactive, will run again in 4 days 12:59:58 at 0 :00 on Mon

A well you can debug it too with:

debug kron all

an you should see what happens when you create change or try to execute a kron policy.

Kron is not working on a ASA/ PIX and AFAIK their is no substitute command for the same task.

cheers NWG

DE - VPN Netzwerk mit OSPF auf PIX/ ASA und Routern (Task 2)

2009-04-02T12:46:00.004+02:00

Gut weiter geht´s mit den Aufgaben. Nachdem ich mir Aufgabe 1 noch einmal angesehen habe, habe ich entschieden die mir selbst auferlegten Aufgaben etwas anders zu bearbeiten. Die Aufgabe 1 enthält, so denke ich, viele Informationen die hilfreich sein können, aber Aufgrund der Fülle nicht einfach zu erfassen sind. Daher will ich weitere Aufgaben in kleinere Teilaufgaben untergliedern um das Lesen, Verstehen und ggf. auch wiederfinden einfacher zu machen.

Wie soll also Aufgabe 2 aufgeteilt werden

Task 2.1 Nachbau des Kundennetzwerk
Grundlegende OSPF Konfiguration auf Cisco Routern und PIX /ASA

Task 2.2 Hinzufügen von Sicherheitsfeatures und Einbau der VPN Router
Aktiveren der MD5 Authentifizierung für OSPF auf den Routern und der PIX/ASA
Hinzufügen der neuen VPN Edge Router zum OSPF Netzwerk

Task 2.3 Erstellen der ISP Router
Erstellen von 3 ISP Routern mit OSPF als Routing Protokoll
(nichts besonderes halt)

Task 2.4 Konfigurieren von HSRP auf den VPN Routern
Grundlegende HSRP Konfiguration auf Routern implementieren

Task 2.5 Aktivieren der VPN Verbindung für Clients auf den VPN Routern

Task 2.6 Hinzufügen von Site 2 Site VPN Funktionalität
Einrichten von Site 2 Site VPNs zwischen Router und Router sowie Router
und PIX/ASA

Task 2.7 Hinzufügen von NEM Hardware Clients
Hinzufügen von PIX/ASA als NEM Client
Einrichten von Routern als NEM Client

Task 2.8 Volle Redundanz
Aktivieren von SSO auf den Routern

Innerhalb der nächsten Tage will ich Stück für Stück die Lösungen der Teilaufgaben posten. Aber jetzt will ich erst mal das Netz etwas näher erklären

Das ist grundlegend das Netzwerk des Kunden (ja es handelt sich um ein Kunden Netzwerk). Das Netzwerk ist unterteilt in Inner Core Routing, Outer Core Routing und Edge Netzwerk. Inner und Outer Core Routing Netzwerk sind grundlegend identisch und bestehen aus mehreren Routern die OSPF als routing Protokoll verwenden. In Zukunft sollen diese Bereiche stärker getrennt werden aber das ist Zukunftsplanung und hier uninteressant. Der Edge Bereich enthält alle Netzwerk Geräte die Verbindung zum Internet haben. Im Edge Netzwerk steht Initial nur eine Firewall, ähnlich wie viele der Router handelt es sich nicht um ein Cisco Produkt aber das ignorieren wir im Interesse der Aufgabe einfach mal und setzen eine PIX/ ASA ein.

Im zweiten Diagramm sieht man die zwei neuen VPN Router wie sie ins Netzwerk eingebracht werden sollen. Ebenso die 3 ISP Router an die die VPN Router angeschlossen werden.

Wie immer gilt, wenn es Fragen gibt einfach in die Kommentare schreiben.

Cheers
NWG

EN - VPN network with OSPF on PIX/ ASA and routers (Task 2)

2009-04-02T11:53:00.010+02:00

OK I´ve changed the way how I will handle the answering of the tasks. The problem is that Task 1 was (at least I think) informative but it was also quite a lot to read. So I´ll split up the solutions to my self created tasks into smaller chunks, thus will make it easier to read, understand and find (if you search for the problem).

So how will task 2 be divided?

Task 2.1 Recreating the customers network
Basic OSPF configuration on routers and PIX/ASA

Task 2.2 Adding security features and VPN endpoint routers
Enabling OSPF MD5 Authentication on PIX/ASA and Routers
Adding new VPN edge routers to the OSPF Network

Task 2.3 Creating ISP Access
Basic OSPF Configuration between 3 ISPs (nothing fancy)

Task 2.4 Creating HSRP on the VPN endpoint routers
Basic HSRP Configuration on the two VPN routers

Task 2.5 Adding VPN Support for VPN Clients
Creating VPN access on VPN Edge routers

Task 2.6 Adding Site 2 Site VPN
Creating Site2Site VPN between routers and PIX/ASA

Task 2.7 Adding network extension mode Clients (NEM)
Creating VPN hardware clients (Routers and PIX/ASA)for NEM access

Task 2.8 Full Redundancy
Enabling SSO on Routers

The next few days I´ll post solution step by step. But first some pictures to explain the network concept.

This is the basic network that I´ve found at the customer location. The routers of the inner core routing network are running OSPF with no security features enabled the routers are most times non Cisco products but since we focus on Cisco network devices we ignore this fact. ;)
The outer core routing network is nearly the same like the inner core routing network but in future the customer plans to divide those network parts more. (but this is future planing and not covered here). Last is the edge network, this part contains network devices that connect to the Internet. In this scenario the primary edge is a ASA/ PIX but in the customer scenario there is an other firewall device in place (but this fact is ignored to ;) )

Here you can see the planed next stage, where two VPN routers are placed in the edge network. These routers are connected to two independent ISPs routers for redundancy issues.

As always if you got questions just drop a not into the comments.
More to come.

Cheers NWG

EN/ DE – Blogchanges

2009-04-02T02:53:00.001+02:00

Nach dem ich etwas bei Technorati mit dem Tag Cloud widget gespielt habe, habe ich unsere Blogtags überarbeitet. Ich hoffe es gefällt so.

After playing a bit with the Technorati tag cloud widget I’ve reviewed our tags and changed a lot. Hope you like it.

Cheers NWG

DE/ ENG - www.PlayingWithNetworks.com

2009-04-01T12:10:00.006+02:00

Nun der Titel sagt es ja schon ganz gut. Wir sind jetzt auch unter der Domain www.PlayingWithNetworks.com zu erreichen.

Well the topic says it all. We now can be reached with the domain www.PlayingWithNetworks.com

Cheers NWG

DE- ASA Passwort Wiederherstellung – Hinweis

2009-03-29T14:01:00.001+02:00

Wenn man mal in die Verlegenheit kommt und auf einer ASA die Passwortwiederherstellungsprozedur durchführen zu müssen wie auf der Cisco Seite beschrieben, (Passwort Recovery Guide) kann es zu merkwürdigen Symptomen kommen. Ich habe Gestern eine ganze Weile damit zugebracht herauszufinden warum auf einer Kunden ASA das PPPOE plötzlich nicht mehr ging. Nach einiger Zeit und der Tatsache das ein Debug auf PPPOE gar nichts brachte, konnte ich heraus finden das das Register der ASA nicht passte. Es zeigte sich dann, dass das zurücksetzen des Konfigurationsregisters zusammen mit einem Neustart das Problem restlos löste. Ergo hing die ASA die ganze Zeit im Passwortwiederherstellungsprozess. Interessanterweise funktionierte der Rest der aktivierten ASA Features wie gewohnt.

Cheers NWG

EN - ASA Password recovery - something to note

2009-03-29T14:00:00.000+02:00

If you are doing ASA password recovery like it is discribed on CISCO.com
(Recovery procedure link)
One thing you might notice that some functions are not working as expected. Well the „disable system configuration?“ question has to be answerd with „Yes“ so sure nothing should realy work.
Yesterday I spend quite a lot of time till I recognised that the ASA was nearly working except for the PPPOE part. A debug on pppoe showed ..well nothing. After some time I figured that the customer did not switch the configuration register back to the defaults and did not do a reload, so we were still hanging in the password recovery process. Switching back the configuration register, reloading and hurray the ASA was back up online. Interesstingly the rest of the activated features worked like a charm.

Cheers NWG

DE - 'Router on a Stick' oder "Inter VLAN routing"

2009-03-27T13:26:00.003+01:00

Hallo zusammen,

ich versuche heute einmal in einfachen Schritten das Inter-VLAN Routing zu erläuterm.
Weil ich mein Heim noch nicht mit Routern und Switchen tapeziert habe, habe ich Dynamips aus dem GNS3 Paket benutzt.

Das folgende Setup habe ich mit 3725er Routern gebaut:
R0 ist der eigentliche Rrouter.
R2 habe ich als Switch im Einsatz. In Slot1 steckt ein NM-16ESW welches den Switch darstellt.
Host1 und Host2 stellen sind wie der Name schon erahnen lässt, lediglich Hosts.

Ich werde nur die Zeilen der Config posten, die nicht standartmäßig drin sind.

R0

hostname R0
!
interface FastEthernet0/0
 no ip address
 speed 100
 full-duplex
!
interface FastEthernet0/0.100
 encapsulation dot1Q 100
 ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet0/0.200
 encapsulation dot1Q 200
 ip address 10.0.200.1 255.255.255.0
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip route 10.0.100.0 255.255.255.0 FastEthernet0/0.100
ip route 10.0.200.0 255.255.255.0 FastEthernet0/0.200

Für jedes VLAN muss ein Subinterface angelegt werden. Ich empfehle die VLAN-Nummern als Sub-IFnummer zu benutzen, aber das ist jedem freigelassen.
Als erstes muß auf dem Subinterface der encapsulation Befehl abgesetzt werden.
encapsulation dot1Q <vlan ID>

Um das Routing zwischen den VLANs einzuschalten kann man entweder statisches Routing nutzen, oder aber ein belieibiges Routing Protokoll. Ich habe statitische Routen benutzt, die jedes Subnetz über das zugehörige Subinterface erreichbar machen.

R2

hostname R2
!
interface FastEthernet1/0
 description Link to R0
 switchport mode trunk
 duplex full
 speed 100
!
interface FastEthernet1/5
 description Link to Host1
 switchport access vlan 100
 duplex full
 speed 100
!
interface FastEthernet1/10
 description Link to Host2
 switchport access vlan 200
 duplex full
 speed 100

Da dieser Router lediglich als L2 Switch dient, sind keinerlei IP Adressen konifguriert. Normalerweise sollte zumindest eine Management IP auf irgend ein VLAN gebunden werden.

Host1

hostname Host1
!
interface FastEthernet0/0
 ip address 10.0.100.100 255.255.255.0
 speed 100
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

Da diese Router lediglich Hosts simulieren sollen, haben sie eine Defaultroute die auf das ausgehende Interface zeigt, und somit das Default Gateway darstellt.

Host2

hostname Host2
!
interface FastEthernet0/0
 ip address 10.0.200.200 255.255.255.0
 speed 100
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

Ich empfehle dringend (eigentlich in jeder Config) speed und duplex Befehle, um "Missmatch"-Errors zu vermeiden.

Für Fragen benutzt einfach die Kommentar-Funktion.
Regards,
Zif

EN - 'Router on a Stick' or Inter VLAN routing

2009-03-25T23:49:00.000+01:00

Hey again,

I try to explain in simple steps how to do inter vlan routing.
Due to the lack of real equipment @home I used dynamips from the GNS3 package.

I built the folowing setup using 3725 routers.
R0 is the real router.
R2 is used as switch. In Slot1 I inserted a NM-16ESW which simulates the switch.
Host1 and Host2 are used as host only.

I will only post non-auto config lines.

R0

hostname R0
!
interface FastEthernet0/0
 no ip address
 speed 100
 full-duplex
!
interface FastEthernet0/0.100
 encapsulation dot1Q 100
 ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet0/0.200
 encapsulation dot1Q 200
 ip address 10.0.200.1 255.255.255.0
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip route 10.0.100.0 255.255.255.0 FastEthernet0/0.100
ip route 10.0.200.0 255.255.255.0 FastEthernet0/0.200

For each VLAN a subinterface has to be created. I recommend using the VLAN number but there are no rule for it.
When configuring the subinterfaces enter first the encapsulation command.
encapsulation dot1Q <vlan ID>

To enable routing between VLANs you need either static routes or a routing protocol. I used static routes pointing for each subnet to its related subinterface.

R2

hostname R2
!
interface FastEthernet1/0
 description Link to R0
 switchport mode trunk
 duplex full
 speed 100
!
interface FastEthernet1/5
 description Link to Host1
 switchport access vlan 100
 duplex full
 speed 100
!
interface FastEthernet1/10
 description Link to Host2
 switchport access vlan 200
 duplex full
 speed 100

Due to this router is used as Switch only, there are no IP addresses configured. In a real scenario there would be at least a management IP normaly bound on a VLAN.

Host1

hostname Host1
!
interface FastEthernet0/0
 ip address 10.0.100.100 255.255.255.0
 speed 100
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

Due to these routers are (mis)used as host, the have an default gateway pointing at the outgoing interface.

Host2

hostname Host2
!
interface FastEthernet0/0
 ip address 10.0.200.200 255.255.255.0
 speed 100
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

I highly recommend (in every environment) to use the speed and duplex settings to avoid running in mismatch errors!

For questions just use the comment section.
Regards,
Zif

DE - Configuration Basics

2009-03-25T22:31:00.000+01:00

Hallo zusammen,
Ich bin der Neue ;)
Ich will hier mit einigen initialen Konfigurationsschritten, die bei jedem jungreulichem Router oder Switch abgesetzt werden sollten.

Wenn das Gerät startet, steht normalerweise folgender Prompt:

Would you like to enter the initial configuration dialog? [yes/no]:

Natürlich antwortet man hier mit "no". Ehrlich gesagt habe ich keine Ahnung was kommt, wenn man "yes" sagt ;)
Damit man mit der CLI ordentlich arbeiten kann, kopiert einfach die folgenden Zeilen und fügt sie in der CLI ein:

enable
configure terminal
line console 0
logging synchronous
exec-timeout 0 0

Diese Kommandos tun folgendes:
enable - führt euch in den "priveledge mode"
configure terminal - führt euch in den "config mode"
line console 0 - wählt den Konsolenport zur Konfiguration aus.
logging synchronous - noch jedem vom Router/Switch generiertem Output wird ein Zeilenumbruch eingefügt
exec-timeout 0 0 - der Session timeout wird abgeschaltet

Diese wenigen Zeilen werden euch helfen auf der CLI die Übersicht zu behalten.

Gruß,
Zif

EN - Configuration Basics

2009-03-25T22:11:00.000+01:00

Hey gals'n guys,
I am the new one ;)
Lets start with some basic configuration steps, which should be applied to every maiden-like router or switch.

Every device startup should end in folowing prompt:

Would you like to enter the initial configuration dialog? [yes/no]:

Of course chose "no" due to I have no idea what happens when chosing "yes" ;)
Now to get the CLI working smoothly you can copy and paste the following lines:

enable
configure terminal
line console 0
logging synchronous
exec-timeout 0 0

The shown commands do:
enable - priveledge mode
configure terminal - enter config mode
line console 0 - select console port for configurations
logging synchronous - after each router/switch generated output a carriage return (CR) is inserted
exec-timeout 0 0 - the session timeout is disabled

This will help help to keep track of the following configuration.

Regards,
Zif

ENG – Task 2 VPN Networks

2009-03-25T01:21:00.000+01:00

Task 2
Add two routers to an existing OSPF Network.
Terminate several VPN types on this routers and try to implement high availibilty.

Tools
GNS3
existing network core:
- 3x 3660 IOS 12.3.26

VPN edge routers:
- 2x 3725 IOS 12.4.15T8

ISP Routers:
- 3x 2691 IOS 12.4.15T7

VPN Devices:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x

DE - Aufgabe 2 - VPN Netzwerke

2009-03-25T01:17:00.000+01:00

Aufgabe 2
Anbinden zweier Router an ein bestehendes OSPF - Netz.
Terminierung dieverser VPN Arten auf den Routern moeglichst ausfallsicher.

Tools
GNS3
Bestehender Netzwerk Kern:
- 3x 3660 IOS 12.3.26

VPN Perimeterrouter:
- 2x 3725 IOS 12.4.15T8

ISP Router:
- 3x 2691 IOS 12.4.15T7

VPN Endpunkte:
- 2x PIX 7.2.4
- 2x 2610 12.4.15T7
- 1x Cisco VPN client 5.0.x

ENG- Zif joined

2009-03-25T00:25:00.000+01:00

From now on Zif will, depending on his time. Add some nice configs and tips for the routing topics.

Cheers NWG

DE - Zif an Bord

2009-03-25T00:24:00.000+01:00

Seit Heute schreibt Zif mit im Blog und wird sich, so er Zeit hat, um das Thema Routing kümmern
cheers NWG

DE – Tools update

2009-03-24T00:40:00.000+01:00

In den letzten Wochen hat sich mein Lab doch etwas verändert, daher hier ein kurzes Update.

Tools:
GNS3 Version 0.6

Ich musste feststellen das die 7200 Router ab einer bestimmten Anzahl dazu tendieren einfach so zu crashen. Bei meinem Arbeitsnotebook ist das zwischen 3 und 4 Router. Daher habe ich die Wahl dieser Boxen verworfen. Seit kurzem setze ich daher auf 3725, ich wollte zuerst die 3745er nehmen aber die leiden unter einem Dynamips Bug und so kann man die Konfig nicht reimportieren nachdem man sie gespeichert hat. Die 3725 laufen mit dem IOS 12.4.15T8.

Ach so ich habe eine der 5505 ASAs ausgetauscht gegen eine 5510 aber leider ist die Box im produktiven Umfeld. Daher wird es auf der keinen großen außergewöhnlichen Configs geben.

Bei VMWare bleibt alles beim alten.
Cheers NWG

ENG – Tools update

2009-03-24T00:28:00.000+01:00

Well within the last weeks my environment slightly changed.

Just to give you a quick update
Tools:
GNS3 version 0.6

I've noticed that the 7200 routers tend to crash, if you run more than a certain amount of them. On my notebook it is often between 3 or 4 7200 routers, even if the are doing nothing. I dropped them and only use them if I need features of 12.4.22T1.
My main routers are now 3725, I tried the 3745 but due to some kind of dynamips bug the do not re import saved configs. So I keep the 3725s running IOS 12.4.15T8.

I changed one of the ASA 5505 to an ASA 5510 but this equipment is now in productive environment so their is no big chance of using them in tricky configs. Both ASAs are still running v8.0.3

VMWare stays the same
Cheers NWG

ENG - Hub-Spoke Configuration PIX/ASA - Task 1

2009-03-19T23:15:00.000+01:00

Finlay I've had the time to write this blog entry. As you may have noticed I´ve done the post in German some days ago, no big deal since it is my mother tong.

But back to the problem: creating a Hub Spoke VPN topology between 3 Cisco PIX. Where the two spoke PIX can send packets to each other

At first a small break for theory.

VPN networks are commonly divided into two topology schemes The first is Hub Spoke the other Full Mesh.
Hub Spoke is somehow easier to manage, because all you have to do is make sure that your remote location can connect to the central side. Everything else can be configured at the central location.

Full Mesh offers more redundancy and you don´t have to fear that your network is completely down if your central side is off-line In comparison to Hub Spoke Full mesh is harder to administrate

In larger enterprises you often find both schemes together, Full Mesh connecting the country offices and hub spoke for the regional offices connecting to the country headquarters

Now lets get started with solution to task 1
Setting:

Used networks
192.168.1.0 /24 - LAN main site ; routing via default route
192.168.2.0 /24 – LAN at customer 1 location 1 (Cust_1); routing via default route
192.168.3.0 /24 – LAN at customer 2 location (Cust_2); routing via default route
10.10.1.x /30 transfer network between ISP router and ASA/PIX; routing via default route
10.10.98.x /30 transfer networks between ISP routers, routing via OSPF
10.10.99.x /32 Management IP of the ISP Router; added to OSPF routing

Used tools, router and software versions
configuration and simulation using GNS3 + dynamips + PEMU
3x router 7200 (IOS 12.4.24T) as ISP router
3x router 1700 (IOS 12.3.26) as LAN hosts
3x PIX 525 (ASA/PIX 8.0.3) as Firewall and VPN endpoints

Step by step solution:
Configuration of the ISP zone
Interface creation at the routers:

device: ISP_Main
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.1 255.255.255.255
interface FastEthernet0/0
description ### FW_Main-e0 ###
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
interface FastEthernet0/1
description ### Uplink ISP-Cust-2_f0/1 ###
ip address 10.10.98.5 255.255.255.252
duplex auto
speed auto
interface FastEthernet1/0
description ### Uplink ISP-Cust-1_f1/0 ###
ip address 10.10.98.1 255.255.255.252
duplex full
speed auto

device: ISP_Cust_1
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.3 255.255.255.255
interface FastEthernet0/0
description ### FW_Cust_1-e0 ###
ip address 10.10.1.5 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink to ISP_Cust_2-f1/0 ###
ip address 10.10.98.10 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink to ISP_Main-f1/0 ###
ip address 10.10.98.2 255.255.255.252
duplex full
speed auto

device: ISP_Cust_2
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.2 255.255.255.255
interface FastEthernet0/0
description ### FW-cust-2-e0 ###
ip address 10.10.1.9 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink ISP_Main-f0/1 ###
ip address 10.10.98.6 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink ISP_Cust_1-f0/1 ###
ip address 10.10.98.9 255.255.255.252
duplex full
speed auto

Configuration of OSPF
The task is easy but for the 3 internet routers I decided to work with a dynamic routing protocol OSPF
Using the command router ospf [prozess ID] will enable OSPF in your routers. The network statements define the networks that will be redistributed into OSPF.

device: ISP_Main
router ospf 100
router-id 10.10.99.1
log-adjacency-changes
network 10.10.1.0 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.99.1 0.0.0.0 area 0

device: ISP_Cust_1
router ospf 100
router-id 10.99.99.2
log-adjacency-changes
network 10.10.1.4 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.3 0.0.0.0 area 0

device: ISP_Cust_2
router ospf 100
router-id 10.99.99.3
log-adjacency-changes
network 10.10.1.8 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.2 0.0.0.0 area 0

The main configuration tasks are now done. Just do a quick ping from the router to the other routers
will ensure that the "Internet" works

Note:
I just wanted to use 12.4.24T and did get more trouble than necessary I´ve had to reconfigure quite a lot of times the IDLEPC value in Dynamips so that they do not consume all my CPU capacity. 3724 Router would have done the job running 12.4.15T8. This will be a lesson for me.

Configuration of the „Hosts“
Create an IP on the connected Interface and configure a default route to the Firewall. Nothing more to do here.

device: Host_Main
interface FastEthernet0
ip address 192.168.1.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1

device: Host_Cust_1
interface FastEthernet0
ip address 192.168.2.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.2.1

device: Host_Cust_2
interface FastEthernet0
ip address 192.168.3.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.3.1

The configuration of this Hosts was done quick and after no shutdown was issued on all Interfaces they could be pinged from the PIX.

Configuration of the PIX
Basics

In the first step basic configuration on every ASA/PIX have been made. This means Interfaces, default routes to the ISPs and object groups.

device: FW_Main
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.2 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.1.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.1 1

device: FW-Cust-1
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.6 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.2.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.5 1

device: FW-Cust-2
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.10 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.3.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.9 1

All object groups are the same on all firewalls.

device: FW-Main / FW-Cust-1 /FW-Cust-2
object-group network OBJ_VPN_Main
network-object 192.168.1.0 255.255.255.0
object-group network OBJ_VPN_Customer_1
network-object 192.168.2.0 255.255.255.0
object-group network OBJ_VPN_Customer_2
network-object 192.168.3.0 255.255.255.0
object-group network OBJ_VPN_Customer
group-object OBJ_VPN_Customer_1
group-object OBJ_VPN_Customer_2

Site 2 Site VPNs have 3 characteristics that have to be configured

1. Crypto ACLs that define what traffic has to be encrypted
2. Tunnel groups that characterize the tunnel
3. ISAKMP and IPSEC parameters to build the tunnel.

Crypto ACLs are somehow every time the same. Allow traffic from local network A to remote network B.
The only thing to remember is that you have to apply a exact mirror on the other side of your VPN connection.
So this nearly automatically leads to the following crypto ACLs.

device: FW-Main
access-list ACL_Cry_map_10 remark ### traffic for VPN to Customer 1 ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_20 remark ### traffic for VPN to Customer 2 ###
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_2
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2

device: FW-Cust-1
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2

device: FW-Cust-2
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1

So far the traffic that has to be encrypted is defined. Now the tunnel has to be specified
Together with several parameters the pre shared key is configured using the tunnel group.
If you use PSK you should use of course long and complex keys and change them from time to time.
Certificates may be an alternative for other scenarios but this will be covered in later tasks

For site 2 site VPNs usually the IP Address of the remote endpoint is the name of the tunnel group.

device: FW-Main
! Tunnel Group for FW-Cust-1
tunnel-group 10.10.1.6 type ipsec-l2l
tunnel-group 10.10.1.6 ipsec-attributes
pre-shared-key 1234567890
! Tunnel Group for FW-Cust-2
tunnel-group 10.10.1.10 type ipsec-l2l
tunnel-group 10.10.1.10 ipsec-attributes
pre-shared-key 0987654321

device: FW-Cust-1
! Tunnel Group for FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 1234567890

device: FW-Cust-2
! Tunnel Group for FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 0987654321

The last and biggest configuration block is for the ISAKMP and IPsec parameters and of course the matching between ISAKMP / IPSec parameters, the tunnel group and the ACLs.

device: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto isakmp enable IF_Outside
crypto isakmp policy 100
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

Creating the IPSec transform Sets

device: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac

Defining the crypto map to match the parameters with each other. It is only possible to match one Crypto map on a logical interface, but every crypto map offers enough space for 65534 static connections

device: FW-Main
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.6
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside 20 match address ACL_Cry_map_20
crypto map MAP_Outside 20 set peer 10.10.1.10
crypto map MAP_Outside 20 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside

device: FW-Cust-1
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside

device: FW-Cust-2
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside

Basically the VPN tunnels are now ready to do their job. Often NAT is configured on the firewall and even more often this fact is forgotten, so that the tunnel will not work.
That is why the in this task is NAT zero configured.

device: FW-Main
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
nat (IF_Outside) 0 access-list ACL_Nat_0

device: FW-Cust-1
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
nat (IF_Outside) 0 access-list ACL_Nat_0

device: FW-Cust-2
access-list ACL_NAT_0 remark ### Nat ZERO ###
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
nat (IF_Outside) 0 access-list ACL_Nat_0

Last but not least we have to enable that traffic can flow from one VPN tunnel to the other. This is by default not possible. Why VPN tunnel have the same security level and by design traffic within the same level is not allowed. Solution, enable

device: FW-Main
same-security-traffic permit intra-interface

If everything works as expected we should now be able to ping from any host to the other hosts

The ASA and PIX will now show a MM_Actif if you run show crypto isakmp sa

Feel free to comment, ask question or give feedback (corrections).
cheers NWG

DE – Tool für PEMU unter Windows

2009-03-16T09:41:00.000+01:00

In der letzten Zeit habe ich viel mit Dynamips und PEMU gemacht und habe festgestellt das es oft anstrengend ist mehr als 2 PIX laufen zu lassen. Meistens ist nach 4 PIX Schluss da mein CPU bei 100% ist und selbst schreiben unmöglich wird. Am Freitag hat mir ein Kollege „Battle Encoder Shiraze“ als zusätzliches Tool empfohlen. Damit lassen sich einzelne CPU Prozesse limitieren. Ich war danach in der Lage 9 PIX und einen Router gleichzeitig laufen zu lassen.
Es ist auf jeden Fall einen blick Wert

BES 1.3.8

Hoffentlich hilft es noch mehr Leuten als nur mir
Cheers NWG

ENG - Tool for PEMU under Windows

2009-03-16T09:39:00.000+01:00

Playing around with dynamips and pemu is sometime quite hard since running two or more PIX Firewalls costs a lot of resources. Usually running 4 PIX is the maximum I can run on my laptop before I hit 100% CPU Load.
But on Friday a co-worker showed me „Battle Encoder Shiraze“ with this tool you are able to limit the CPU load of PEMU. Quite nice!! I was able to run about 9 PIX and 1 Router without problems.

BES 1.3.8

Hope that helps
Cheers NWG

DE - Hub-Spoke Konfiguration Pix /ASA - Task 1

2009-03-14T07:18:00.001+01:00

Endlich ist es geschafft und vor allem beschrieben. Also jetzt zur Frage Task 1 wie konfiguriere ich 2 Pixen so das sie mit der Zentralen Pix kommunizieren können und auch untereinander Daten verschicken können.

Ein bisschen was zu Theorie aber vorab.
Im VPN Netzwerken (nicht nur dort) kann man grundsätzlich zwischen zwei Topologie unterscheiden. Zum Einen Hub-Spoke und zum Anderen Full-Mesh Netzen.
Hub Spoke Netze sind Zentral ausgerichtet. Alle Remotestandorte verbinden sich zu einer Zentrale und über diese findet auch die Kommunikation zwischen den Remotestandorten statt. Administrativ ist die Konfiguration vermeintlich sehr elegant, da der Administrator sich nur an einer Stelle Gedanken machen muss, wer worauf zugreifen darf. In den Remotestandorten muss nur sicherstellen werden das die Zentrale erreicht wird. Fällt die Zentrale oder die Verbindung dorthin aus, ist das Datentechnisch der Super GAU – der Ausdruck „Nichts geht mehr“ trifft es so ziemlich genau.

Im Gegensatz dazu sind Full-Mesh Netzwerke ausfallsicher. Es gibt keine klare Zentrale und jeder Teilnehmer ist, an sich, mit jedem anderen vernetzt. Dies ermöglicht eine große Flexibilität falls einmal eine Lokation nicht erreichbar ist, sorgt aber im schlimmsten Fall auch für einen enormen administrativen Zusatzaufwand, da die Verbindungen konfiguriert, gemonitort und auch „gepflegt“ werden müssen.

Oft findet man in großen Organisationen eine Mischform aus beiden Konzepten. So sind oft bei einer Firma die Landesfilialen untereinander mittels Full-Mesh Konzept verbunden, die Regionalbüros aber dann wiederum mittels Hub-Spoke Topologie an die Landesfiliale angebunden.

Aber zurück zur Aufgabe
Testaufbau:

Verwendete Netzwerke:
192.168.1.0 /24 - LAN in der Zentrale (Main); Routing via Default Route
192.168.2.0 /24 – LAN bei Kunden 1 (Cust_1); Routing via Default Route
192.168.3.0 /24 – LAN bei Kunden 2 (Cust_2); Routing via Default Route
10.10.1.x /30 Verbindungsnetze zwischen ISP Router und PIX/ASA ; Routing via Default Route
10.10.98.x /30 Verbindungsnetze zwischen den ISP Routern, Routing via OSPF
10.10.99.x /32 Management IP der ISP Router; in OSPF Routing eingebunden

Verwendete Tools, Router, Software Versionen
Konfiguration und Simulation GNS3 + Dynamips + Pemu
3x Router 7200 (IOS 12.4.24T) als ISP Router
3x Router 1700 (IOS 12.3.26) als LAN Hosts
3x PIX 525 (ASA/PIX 8.0.3) als Firewall und VPN Endpunkt

Schritt für Schritt Lösung der Aufgabe:

Konfiguration der ISP Zone
Anlegen der Interface auf den Routern:

Gerät: ISP_Main
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.1 255.255.255.255
interface FastEthernet0/0
description ### FW_Main-e0 ###
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
interface FastEthernet0/1
description ### Uplink ISP-Cust-2_f0/1 ###
ip address 10.10.98.5 255.255.255.252
duplex auto
speed auto
interface FastEthernet1/0
description ### Uplink ISP-Cust-1_f1/0 ###
ip address 10.10.98.1 255.255.255.252
duplex full
speed auto

Gerät: ISP_Cust_1
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.3 255.255.255.255
interface FastEthernet0/0
description ### FW_Cust_1-e0 ###
ip address 10.10.1.5 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink to ISP_Cust_2-f1/0 ###
ip address 10.10.98.10 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink to ISP_Main-f1/0 ###
ip address 10.10.98.2 255.255.255.252
duplex full
speed auto

Gerät: ISP_Cust_2
interface Loopback0
description ### MGMT INT ###
ip address 10.10.99.2 255.255.255.255
interface FastEthernet0/0
description ### FW-cust-2-e0 ###
ip address 10.10.1.9 255.255.255.252
duplex full
speed auto
interface FastEthernet0/1
description ### Uplink ISP_Main-f0/1 ###
ip address 10.10.98.6 255.255.255.252
duplex full
speed auto
interface FastEthernet1/0
description ### Uplink ISP_Cust_1-f0/1 ###
ip address 10.10.98.9 255.255.255.252
duplex full
speed auto

Konfiguration des OSPF auf den Routern
Auf wenn die Aufgabe einfach ist, wird für die drei Internet Router ein Routing Protokoll in der einfachsten Form implementiert.
Mit dem Befehl router ospf [Prozess ID] wird auf dem Router das OSPF Protokoll aktiviert. Die network Statements definieren die Netze die im Routing verteilt werden sollen. In diesem Fall werden alle Netze nur im Area 0 des OSPF Netzwerks bekannt gegeben.

Gerät: ISP_Main
router ospf 100
router-id 10.10.99.1
log-adjacency-changes
network 10.10.1.0 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.99.1 0.0.0.0 area 0

Gerät: ISP_Cust_1
router ospf 100
router-id 10.99.99.2
log-adjacency-changes
network 10.10.1.4 0.0.0.3 area 0
network 10.10.98.0 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.3 0.0.0.0 area 0

Gerät: ISP_Cust_2
router ospf 100
router-id 10.99.99.3
log-adjacency-changes
network 10.10.1.8 0.0.0.3 area 0
network 10.10.98.4 0.0.0.3 area 0
network 10.10.98.8 0.0.0.3 area 0
network 10.10.99.2 0.0.0.0 area 0

Die Kernaufgaben auf den Routern sind damit abgeschlossen. Ein kurzes pingen der einzelnen Interfaces von jedem Router aus, ergab das das „Internet“ funktioniert.

Anmerkungen:
Ich wollte unbedingt 12.4.24T einsetzen, und habe mir damit mehr Ärger als nötig eingehandelt, da die 72er Router regelmäßig nachdem sie konfiguriert wurden, mussten ihren IDLEPC Werte im Dynamips angepasst werden. 37er hätten es wohl auch getan und dann 12.4.15T8.

Konfiguration der LAN „Hosts“
Einrichten einer IP auf dem angeschlossenen Interface und setzen einer statischen Default Router in Richtung der PIX war alles was hier zu konfigurieren war.

Gerät: Host_Main
interface FastEthernet0
ip address 192.168.1.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.1.1

Gerät: Host_Cust_1
interface FastEthernet0
ip address 192.168.2.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.2.1

Gerät: Host_Cust_2
interface FastEthernet0
ip address 192.168.3.2 255.255.255.0
speed auto
ip route 0.0.0.0 0.0.0.0 192.168.3.1

Die Hosts waren schnell erledigt und nachdem ein no shutdown auf allen Interfaces gesetzt war, konnte man sie auch von den PIXen nach deren Konfiguration erreichen.

Konfiguration der PIX
Grundlagen

Als erstes wurden die Dinge, die es auf jeder PIX/ ASA gibt konfiguriert. Also in dem Fall die Interfaces, die (default) Routen zu den ISPs und die Optionalen Objekt Gruppen.

Gerät: FW_Main
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.2 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.1.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.1 1

Gerät: FW-Cust-1
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.6 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.2.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.5 1

Gerät: FW-Cust-2
interface Ethernet0
nameif IF_Outside
security-level 0
ip address 10.10.1.10 255.255.255.252

interface Ethernet1
nameif IF_Inside
security-level 100
ip address 192.168.3.1 255.255.255.0

route IF_Outside 0.0.0.0 0.0.0.0 10.10.1.9 1

Die Objekt Gruppen sind auf allen drei PIXen identisch.

Geräte: FW-Main / FW-Cust-1 /FW-Cust-2
object-group network OBJ_VPN_Main
network-object 192.168.1.0 255.255.255.0
object-group network OBJ_VPN_Customer_1
network-object 192.168.2.0 255.255.255.0
object-group network OBJ_VPN_Customer_2
network-object 192.168.3.0 255.255.255.0
object-group network OBJ_VPN_Customer
group-object OBJ_VPN_Customer_1
group-object OBJ_VPN_Customer_2

Die definierten Objekt Gruppen werden vor allem in ACLs eingesetzt, da man dann die ACLs bereits durch das ändern der Objekt Definition anpassen kann.

Site 2 Site VPNs zeichnen sich durch 3 Punkte aus, die zwingend in der Konfiguration vorhanden sein müssen.

1. ACLs die den zu verschlüsselnden Traffice definieren
2. Eine Tunnelgruppe die den Tunnel charakterisiert
3. den ISAKMP und IPSEC Parametern um den Tunnel aufzubauen

Die ACLs die die Tunnel definieren sind im Grunde genommen immer gleich. Erlaube Traffic von IP oder Netz A nach IP oder Netz B im Remote-Standort. Dabei ist nur zu beachten das die ACL gespiegelt auf dem anderen Teilnehmer zur Anwendung kommt.
So ergibt sich für die Crypto ACLs folgender Inhalt:

Gerät: FW-Main
access-list ACL_Cry_map_10 remark ### traffic for VPN to Customer 1 ###
! Folgende Zeile erlaubt: Traffic von der Zentralen Main Seite zum Netz im Standort Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_1
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
access-list ACL_Cry_map_20 remark ### traffic for VPN to Customer 2 ###
! Folgende Zeile erlaubt: Traffic aus dem Main LAN zum Netz Standort Cust_2
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer_2
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_20 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2

Gerät: FW-Cust-1
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
! Folgende Zeile erlaubt: Traffic vom LAN Cust_1 zum Main_LAN
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
! Folgende Zeile erlaubt: Traffic vom LAN Cust_1 zum LAN Cust_2
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2

Gerät: FW-Cust-2
access-list ACL_Cry_map_10 remark ### traffic for VPN to Main Location ###
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum Main LAN
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
! Folgende Zeile erlaubt: Traffic vom LAN Cust_2 zum LAN Cust_1
access-list ACL_Cry_map_10 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1

Somit wäre definiert, welcher Traffic zu verschlüsseln ist. Jetzt muss Der Tunnel genauer definiert werden. Neben diversen Parametern lässt sich vor allem in der Tunnelgruppe der Pre Shared Key bestimmen. Setzt man PSK ein sollte dieser möglichst Lang und Komplex sein und von Zeit zur Zeit geändert werden. Alternativ lassen sich Zertifikate verwenden. Der Einfachheit der Aufgabe aber ist das hier außen vor.
Für Site 2 Site VPNs werden in der Regel als Tunnelbezeichnung die IP Adresse der entfernten Seite der VPN Verbindung verwendet.

Gerät: FW-Main
! Tunnel Gruppe zur FW-Cust-1
tunnel-group 10.10.1.6 type ipsec-l2l
tunnel-group 10.10.1.6 ipsec-attributes
pre-shared-key 1234567890
! Tunnel Gruppe zur FW-Cust-2
tunnel-group 10.10.1.10 type ipsec-l2l
tunnel-group 10.10.1.10 ipsec-attributes
pre-shared-key 0987654321

Gerät: FW-Cust-1
! Tunnel Gruppe zur FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 1234567890

Gerät: FW-Cust-2
! Tunnel Gruppe zur FW-Main
tunnel-group 10.10.1.2 type ipsec-l2l
tunnel-group 10.10.1.2 ipsec-attributes
pre-shared-key 0987654321

Als letzten und größten Block müssen die ISAKMP und IPSec Parameter der Tunnel festgelegt werden und natürlich ein Zuordnung zwischen ISAKMP/ IPSec Parametern, Tunnel Gruppe und ACLs erfolgen.

Geräte: FW-Main/ FW-Cust-1 / FW-Cust-2
! Definieren der ISAKMP Parameter auf allen 3 Firewall Geräten gleich
crypto isakmp enable IF_Outside
crypto isakmp policy 100
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

Bestimmen des IPSec Transform Sets

Geräte: FW-Main/ FW-Cust-1 / FW-Cust-2
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac

Definieren der Crypto Map um die Parameter miteinander zu verknüpfen. Die Auswahl erfolgt beim Verbindungsaufbau über den bereits definierten Traffic durch die ACL.
Es kann pro Logischem Interface nur eine Crypto map gebunden werden, aber jede Crypto map bietet theoretisch Platz für 65534 statische Verbindungen.

Gerät: FW-Main
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.6
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside 20 match address ACL_Cry_map_20
crypto map MAP_Outside 20 set peer 10.10.1.10
crypto map MAP_Outside 20 set transform-set TRANS_1
! Binden der Crypto Map auf das Extern Interface
crypto map MAP_Outside interface IF_Outside

Gerät: FW-Cust-1
crypto ipsec transform-set TRANS_1 esp-aes-256 esp-sha-hmac
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside

Gerät: FW-Cust-2
crypto map MAP_Outside 10 match address ACL_Cry_map_10
crypto map MAP_Outside 10 set peer 10.10.1.2
crypto map MAP_Outside 10 set transform-set TRANS_1
crypto map MAP_Outside interface IF_Outside
crypto isakmp enable IF_Outside

Grundlegend ist nun alle Bereit um als VPN Tunnel zu arbeiten. Oft wird jedoch vergessen das auf der PIX/ASA NAT definiert ist. Dann versucht die Firewall Aufgrund der NAT Regeln den Traffic im Tunnel zu NATen.
Daher wird im Beisiel noch NAT 0 mit zugehöriger ACL konfiguriert. NAT 0 bedeutet das der Traffic der auf diese ACL zutrifft vom generellen NAT Prozess ignoriert wird.
Wieder erfolgt die Konfiguration der ACLs nach dem Syntax Erlaube von Netz A nach Remote Netz B.

Gerät: FW-Main
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Main Lan zu den Remote Standorten
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Main object-group OBJ_VPN_Customer
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 1
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 2
access-list ACL_NAT_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0

Gerät: FW-Cust-1
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Kundennetz 1 zum Main Netz
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Main
! Kein NAT für Verbindungen von Kundennetz 1 zu Kundennetz 2
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_1 object-group OBJ_VPN_Customer_2
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0

Gerät: FW-Cust-2
access-list ACL_NAT_0 remark ### Nat ZERO ###
! Kein NAT für Verbindungen von Kundennetz 2 zum Kundennetz 1
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Customer_1
! Kein NAT für Verbindungen von Kundennetz 2 zum Main Netz
access-list ACL_Nat_0 extended permit ip object-group OBJ_VPN_Customer_2 object-group OBJ_VPN_Main
! aktivieren der Nat Aufnahme für Traffic der der ACL entspricht und über das Interface IF_Outside geht
nat (IF_Outside) 0 access-list ACL_Nat_0

Zu Guterletz muss eine Restriktion der ASA / PIX aufgegeben werden, damit die Remote Netzwerke sich gegenseitig sehen können. Grundsätzlich dürfen Interfaces mit gleichem Security Level keine Daten austauschen. Dies wird generell mit folgendem Befehl aufgehoben.

Gerät: FW-Main
same-security-traffic permit intra-interface

Wenn alles glatt gelaufen ist, sollten sich von allen Drei Hosts nun Pings zu den Remote Hosts absetzen lassen.

Auf den PIXen /ASA zeigt sich ein „wunderschönes“ MM_Active sobald man show crypto isakmp sa eingibt.

Für Anregungen ,Idee und so weiter(gern auch Fragen und Richtigstellungen) bin ich gern zu haben. Einfach in die Kommentare posten.

Links zu den Konfigs
ISP1
ISP2
ISP3
Host_Main
Host_Cust_1
Host_Cust_2
FW-Main
FW-Cust-1
FW-Cust-2

DE / ENG Task 1 Update

2009-03-14T02:38:00.000+01:00

Nachdem ich nun auf Seite 8 angekommen bin wird es morgen wohl ein Update zu Task 1 Geben (endlich)

Since I´v just managed to complete the first 8 pages of the German description to Task 1 I think the update will take place within the next 3 days.

Cheers NWG

DE - Diskussionen und die Erkenntnisse daraus

2009-03-04T21:16:00.000+01:00

Vor einiger Zeit hatte ich eine interessante Diskussion mit Zif einem Arbeitskollegen und gutem Freund über das Konfigurieren von Routern und Firewalls nur so zum Spaß.
Ich glaube mittlerweile ist das basteln an Netzwerkkomponenten (echt oder virtuell) so was wie ein Hobby für mich geworden.
Ähnlich wie ich noch vor einiger Zeit in diversen MMORPGs Quests gelöst habe und mich über die EXP gefreut habe, freue ich mich jetzt darüber das eine Konfiguration so arbeitet wie ich es wollte. Es ist quasi eine DAILY Quest für mich geworden.
Natürlich spiele ich hin und wieder auch noch MMOs aber das eher weniger aber auch viel bewusster.

ENG - Discussions

2009-03-04T21:06:00.000+01:00

Some time ago I had a interesting discussion with Zif a good friend and colleague about configuring routers and Firewalls just for fun.
In this discussion I realized that playing around with networks is kind of entertainment in my spare time.
In the past I used to play MMORPGs and solved quest and spent quite a lot of time hunting for EXPs and levels.
Today I´m happy when a configuration works as i wanted. It has become a kind of daily quest to me.
Of course I´m still playing MMOs. ;)

DE- Update von IOS v12.4.22T auf 12.4.24T

2009-03-04T13:54:00.000+01:00

Servus

nachdem ich gestern ca. 8 Stunden bei einem Kunden mich mit 2 Router herumgeschlagen habe, konnte ich das Problem durch einen Releasewechsel von 12.4.22T auf 12.4.24T beheben. Ich glaube 22T ist keine gute Wahl für Router vor allem wenn man bedenkt das von den aktuell 2015 Bugs 1200 innerhalb der letzten 3 Wochen hinzu kamen. AUA!
Mal sehen wie sich 12.4.24T macht, ich will es mal in GNS3 testen.

Cheers NWG

ENG -Update from IOS 12.4.22T to 12.4.24T

2009-03-04T13:52:00.000+01:00

Hi Folks

after about 8 hours fighting with 2 routers on a customer location i solved the problem with switching from 12.4.22T to 12.4.24T, guess 22T is not a good choice for routers. According to the Bugtracking tool from the Cisco website their are 2015 Bugs level 1-3 listed. Approximately 1200 added within the last week. Ouch!
Lets see how 12.4.24T is working. I´ll test this release in GNS3.

Cheers
NWG

ENG - Why nothing new on Task 1

2009-03-02T23:59:00.000+01:00

A small update on task 1
since the task is not that hard nearly everything is working as desired but I´d like to write some comments on this task. This is the main part why I didn´t publish the post.
But why no time? Well I´m involved in a project on a customer location with this setting:

Network + 2Gate Routers – 2 ISP routers
Aim: Build a 100% failsafe VPN solution. But of course we cant start from the scratch, we´ve got to pa attention to a grown configuration.

More to come later

DE - Aufgabe 1 kein Update

2009-03-02T23:50:00.000+01:00

Warum nichts neues?

Ganz kurzes update zu Aufgabe 1:
Es ist soweit alles fast fertig und tut es auch so gut oder schlecht, da ich aber noch ein bisschen was dazu schreiben will noch kein Lösungspost.

Warum ich keine Zeit habe? Ich sitze gerade an einem Problem eines Kunden:
Netzwerk + 2 Gateway Router – 2 ISP Router
Dabei soll eine möglichst 100% ausfallsicher VPN-Lösung gebaut werden. Leider gibt es keine grüne Fläche sondern eine über Jahre gewachsen Konfig.

DE/ ENG Basic VPN Hub-Spoke

2009-02-27T10:08:00.000+01:00

Aufgabe 1
Anbinden zweier PIX per VPN an eine Zentrale PIX.. (Hub-Spoke)

Task 1
Building a VPN between 2 PIX and a main PIX. (Hub-Spoke)

Tools
GNS3
* PIX Images v8.0.4
* 3725 IOS 12.4.15T7 advanced security

Setting: