Переводы от Google
Пятница, 29 января 2010В продолжении на , давайте предложим новый перевод на русский слова iPad.
Самый правильный перевод ;)
Архив категории ‘Железо’
В Cisco System любят приколы
Пятница, 11 сентября 2009Только что конфигурировал PIX 501 в режиме ROMMON. Забавно пингуются железки.
monitor> ping 192.168.xx.xx
Sending 5,100-byte 07642 ICMP Echoes to 192.168.xx.xx, timeout is 4 seconds:
AXXXXAXXXXXXXAAAXAAAAAXAAAAAAAAA!!!!!
Success rate is 100 percent (5/5)
Новый роутер DrayTek Vigor2910VG
Четверг, 6 августа 2009После длительного и утомительного ожидания, наконец-то приехал новый домашний роутер. Теперь у меня дома будет стоять DrayTek Vigor2910VG.
Железка была выбрана за то, что умеет работать с двумя провайдерами в качестве failover и имеет на борту еще SIP. Да, плюсом еще идут USB-принтер или даже внешний USB-диск.
Спецификация железки:
1. Dual-WAN
Outbound Policy-Based Load-Balance
BoD (Bandwidth on Demand)
WAN Connection Fail-over
2. VoIP
Protocol : SIPv2 (RFC3261), RTP / RTCP
Six SIP Registrars
G.168 Line Echo-Cancellation
Automatic Gain Control
Jitter Buffer (125ms)
Codec Feature:
G.711 A/ч Law
G.723.1
G.726
G.729 A/B
VAD / CNG
Tone Generation and Detection : DTMF, Dial, Busy, Ring Back, Call Progress
FAX / Modem Support :
G.711 Pass-through
T.38 for FAX
Supplemental Services :
Call Hold / Retrieve
Call Waiting
Call Transfer
Call Forwarding (Always, Busy and No Answer)
DND (Do not Disturb)
Hotline
3. Wireless Access Point
IEEE802.11b/g Compliant
Super GT 108Mbps
Wireless Client List
Access Point Discovery
WDS (Wireless Distribution System)
Wireless LAN Isolation
Wireless Station Rate-Control
WPA / WPA2
64/128-bit WEP
802.1X Authentication with RADIUS Client
Hidden SSID
MAC Address Access Control
Wireless VLAN
4. WAN Protocol
DHCP Client
Static IP
PPPoE
PPTP
BPA
L2TP
5. Firewall
CSM (Content Security Management) for IM/P2P Application
Multi-NAT, DMZ Host, Port-Redirection/Open Port
Policy-Based IP Packet Filter
DoS/DDoS Protection
IP Address Anti-Spoofing
E-Mail Alert and logging via Syslog
Bind IP to MAC Address
6. VPN
Up to 32 VPN Tunnels
Protocol: PPTP, IPSec, L2TP, L2TP over IPSec
Encryption: AES, MPPE and Hardware-Based DES/3DES
Authentication: MD5, SHA-1
IKE Authentication: Pre-shared Key and Digital Signature (X.509)
LAN-to-LAN, Teleworker-to-LAN
DHCP over IPSec
NAT-Traversal (NAT-T)
Dead Peer Detection (DPD)
VPN Pass-Through
VPN Backup
7. USB
3G USB Modem (3G only can act as WAN2)
USB Printer
8. Bandwidth Management
Guarantee Bandwidth for VoIP
Class-based Bandwidth Guarantee by User-Defined Traffic Categories
DiffServ Code Point Classifying
4-level Priority for Each Direction (Inbound/Outbound)
Bandwidth Borrowed
Bandwidth/Session Limitation
9. Network Management
Support TR-069
Web-Based User Interface (HTTP/HTTPS)
Quick Start Wizard
CLI (Command Line Interface) / Telnet/SSH*
Administration Access Control
Configuration Backup/Restore
Built-in Diagnostic Function
Firmware Upgrade via TFTP/FTP
Logging via Syslog
SNMP Management with MIB-II
10. Content Filter
URL Keyword Blocking (White list and Black list)
Java Applet, Cookies, Active X, Compressed / Executable / Multimedia File Blocking
Web Content Filter
Time Schedule Control
11. Network Features
DHCP Client/Relay/Server
Dynamic DNS
NTP Client
Call Scheduling
RADIUS Client
DNS Cache/Proxy
UPnP
Port-Based VLAN
Configurable WAN2
Routing Protocol:
Static Routing
RIP V2
Уже настраиваю потихоньку под ИС как основной канал, СИ – резервный, VPN туннель на работу, телефонию на SIP буду уводить. Открыт пока вопрос цеплять USB-винт как FTP или нет ;)
Настройка VPN для iPhone на ASA
Вторник, 30 июня 2009Понадобилось мне подключаться к рабочей сети с iPhone, для проверки сервисов, да и так, к своему рабочему компьютеру, например. Попробовал в базовых настройках, ASA ругалась на не соответствие типов шифрования. Было выяснено, что для iPhone нужен тип шифрования esp-aes, esp-sha-hmac, или esp-aes-256 esp-sha-hmac. Примерная конфигурация ASA:
Для начала создаем ACL для туннеля, делаем исключение NAT
access-list REMOTE extended permit ip any 192.168.3.0 255.255.255.0
access-list REMOTE_SplitTunnel standard permit 192.168.5.0 255.255.255.0
access-list NoNAT extended permit ip 192.168.5.0 255.255.255.0 192.168.3.0 255.255.255.0
nat (inside) 0 access-list NoNAT
Прописываем имя пользователя и пароль для входа
username your_name password your_password
Выдаем адресацию DHCP
ip local pool VPN_POOL 192.168.3.10-192.168.3.20
Описываем криптомап с шифрованием esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map OUTSIDE_MAP 1 match address REMOTE
crypto dynamic-map OUTSIDE_MAP 1 set transform-set ESP-AES-SHA
crypto dynamic-map OUTSIDE_MAP 1 set reverse-route
crypto map VPN 65535 ipsec-isakmp dynamic OUTSIDE_MAP
crypto map VPN interface outside
Описываем ISAKMP
crypto isakmp enable outside
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
Создаем политики VPN. Да, здесь обязательно не забыть про DNS, иначе не будет находить имена.
group-policy VPN_Policy internal
group-policy VPN_Policy attributes
dns-server value DNS_Server_IP
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value REMOTE_SplitTunnel
split-dns value domain.local
Ну и привязываем tunnel-group ко всему этому ;)
tunnel-group VPN type ipsec-ra
tunnel-group VPN general-attributes
address-pool VPN_POOL
default-group-policy VPN_Policy
tunnel-group VPN ipsec-attributes
pre-shared-key your_password
В самом iPhone надо будет заполнить поля логин/пароль (строка username в конфигурации), имя группы (VPN), и т.н. ключ/secret (значение pre-shared-key). Вроде как все. Если есть вопросы – в комментарии, отвечу ;)
Очередной глюк в Cisco ASA 5510
Пятница, 22 мая 2009Сегодня заметил очередной глюк в Cisco Adaptive Security Appliance Software Version 8.0 (4) на ASA 5510. Дело в том, что при конструкции вида:
…
crypto map outside_map 20 match address crypto_first
crypto map outside_map 20 set peer 91.xx.xx.xx
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 21 ipsec-isakmp dynamic vpn
crypto map outside_map 22 match address crypto_second
crypto map outside_map 22 set peer 78.xx.xx.xx
crypto map outside_map 22 set transform-set ESP-AES-256-SHA
…
система доходила до 20 порядкового криптомапа, видела динамический криптомап и прекращала дальнейший перебор с отвалом первой фазы isakmp. Причем, работать перестала опять же сама по себе. Т.е. эта конструкция реально отработала уже более 2х месяцев. Решение простое:
…
crypto map outside_map 20 match address crypto_first
crypto map outside_map 20 set peer 91.xx.xx.xx
crypto map outside_map 20 set transform-set ESP-AES-256-SHA
crypto map outside_map 22 match address crypto_second
crypto map outside_map 22 set peer 78.xx.xx.xx
crypto map outside_map 22 set transform-set ESP-AES-256-SHA
crypto map outside_map 40 ipsec-isakmp dynamic vpn
…
Т.е. просто перенес динамический криптомап в конец, тут же все тунели стартовали.
OLED-телевизор 11" Sony XEL-1
Четверг, 14 мая 2009Просто картинка с сайта одной известной торговой сети электроникой и бытовой техникой. 11 дюймов. Телевизор. Без комментариев.
.
Ремонт Cisco Pix 506E
Четверг, 16 апреля 2009Предыстория. В посте “Cisco PIX 506 в разборе” я выкладывал фотки сдохшей железки (почему и полез разбирать), которая перестала запускаться, выглядело все очень просто, после включения железка проходила самотестирование и останавливалась на моменте обращения к BIOS уже самого PIX.
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
32 MB RAM
PCI Device Table.
| Bus | Dev | Func | VendID | DevID | Class | Irq |
| 00 | 00 | 00 | 8086 | 7192 | Host Bridge | |
| 00 | 07 | 00 | 8086 | 7110 | ISA Bridge | |
| 00 | 07 | 01 | 8086 | 7111 | IDE Controller | |
| 00 | 07 | 02 | 8086 | 7112 | Serial Bus | 9 |
| 00 | 07 | 03 | 8086 | 7113 | PCI Bridge | |
| 00 | 0D | 00 | 8086 | 1209 | Ethernet | 11 |
| 00 | 0E | 00 | 8086 | 1209 | Ethernet | 10 |
…и все, останов.
Проблемку сегодня решил, следующим образом (сразу извиняюсь за качество фоток, съемка была на телефон):
Прям по центру, слева от батареи джампер J5, перетыкаем, ждем секунд 10, вертаем назад, достаем батарейку, включаем железку, ждем полной загрузки, выключаем, возвращаем батарейку.
Все, железка как новенькая. На выходные оставил на тесты, если сдохнет, напишу в комменты ;)
Cisco PIX 506 в разборе
Четверг, 9 апреля 2009Добрался таки до внутренностей пикса, крайне удивлен, например куллером. Cooler Master, made in China. Попозже подробнее поизучаю, а пока смотрите сами.
Замечание по Cisco PIX
Суббота, 4 апреля 2009Заметил интересную штуку. В Cisco PIX 506 с операционкой ниже и равной 6.3 (5), не пашет по дефолту NAT-T! Т.е. для того чтобы сия штука заработала необходимо прописать в конфиге isakmp nat-traversal 300, где 300 — timeout.
