Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Опубликовано 9 декабря, 2013 автором BackTrack

Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.

1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.

2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.

Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:

[code]

crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2

crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth

crypto isakmp client configuration group REMOTEGROUP
key
dns 10.18.19.2
pool REMOTEPOOL
acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set REMOTEVPN
!
!

crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond

crypto map VPNMAP 5 ipsec-isakmp
set peer 213.219.124.154
set transform-set REMOTEVPN
set pfs group2
match address VPN_ACL

crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP

ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20

[/code]

Tags: cisco, vpnPosted by BackTrack in Сети on 9 декабря, 2013

Комментарии (2)

Системные вызовы PHP — exec system не работают в Debian 6

Опубликовано 9 декабря, 2013 автором BackTrack

После миграции сайна на Debian 6, вызовы PHP exec и system перестали работать.
Причиной этого оказался пакет dash «ускоряющий» работу системы заменяя стандартную оболочку bash:

[code]
# ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 9 20:25 /bin/sh -> dash
[/code]

Для восстановления стандартной, для большинства дистрибутивов, оболочки bash выполните следующую комманду:

[code]
# dpkg-reconfigure dash
[/code]

Выберите ответ «No» и по умолчанию все вызовы системы будт выполнятся bash.

Проверить изменения можно так:

[code]
# ls -l /bin/sh
lrwxrwxrwx 1 root root 4 Dec 9 20:26 /bin/sh -> bash
[/code]

Tags: bash, linuxPosted by BackTrack in Линукс on 9 декабря, 2013

BackTrack Remove disks or other media

Опубликовано 25 ноября, 2013 автором BackTrack

После создания загрузочной флэшки BackTrack 5 R3 с помощью программы Unetbootin, при загрузке может появится ошибка:

[code]
Remove disks or other media
Press any key to restart
[/code]

Это означает что образ был записан неверно на USB накопитель.

Для решения этой проблемой воспользуйтесь другой утилитой — Universal USB Installer:

Скачать программу можно тут:

Universal USB Installer — Bootable Pendrive Software

Tags: backtrackPosted by BackTrack in Линукс, Сети on 25 ноября, 2013

Ansible No Package matching found available installed or updated

Опубликовано 25 ноября, 2013 автором BackTrack

При использовании модуля yum через Ansible, на новых системах RHEL / Centos Linux вы можете получить ошибку:

[code]
msg: No Package matching ‘sendmail-cf’ found available, installed or updated
[/code]

Это вызвано отсутствием в системе пакета yum-utils.

Для его установки необходимо использовать модуль raw (аналогично установке пакета python-simplejson):

[code]
ansible 1.2.3.4 -m raw -a «yum -y install yum-utils» —user=userx —sudo
[/code]

Tags: ansiblePosted by BackTrack in Линукс on 25 ноября, 2013

Пример конфигурации беспроводной сети на маршрутизатерах Cisco 800W

Опубликовано 25 сентября, 2013 автором BackTrack

В маршрутизаторы серии Cisco 800W встроен радио интерфейс WiFi.

Ниже приведен пример конфигурации беспроводной сети на любом из рутеров (871W, 851W итд)

В данном примере используется SSID: WiFi-SSID
Шифрование WPA-TKIP
WPA пароль: wpakey01
Беспроводная сеть: 10.23.45.0/24

[code]

dot11 ssid WiFi-SSID
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 wpakey01

bridge irb

interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers tkip
!
ssid WiFi-SSID

interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1

interface BVI1
ip address 10.23.45.1 255.255.255.0
ip nat inside
ip virtual-reassembly

bridge 1 protocol ieee
bridge 1 route ip

[/code]

Скорее всего вам также нужно будет настроить DHCP сервер для беспроводных клиентов:

[code]

ip dhcp pool WiFi
network 10.23.45.0 255.255.255.0
default-router 10.23.45.1
dns-server 8.8.8.8 8.8.4.4

[/code]

Не забудьте добавить новую беспроводную сеть в правило NAT, для доступа в Интернет.

Category Сети by BackTrack. Bookmark the permalink.