English | Русский  

RSS feed

Star Family Blog

|
06/21/2007 11:15

Cisco

Posted by VladStar

Как мне местами "нравятся" цискины закидоны - просто словами не описать... Например, вот этот, на который я только что наткнулся.


Были файрволлы, были сетки, были сервера, были юзеры, приходящие к по этим сеткам к этим серверам через файрволлы по VPN. Полная иддилия, короче...
Затем сервера переехали. Файрволл остался. Юзеры перестали находить эти сервера...


А тут - немного технических подробностей.
Была сетка, 10.1.2.0/24. За файрволлом, с адресом 10.1.2.1. Сервера переехали в соседнюю сетку 10.1.3.0/24, которая сидит за своим файрволлом 10.1.3.1. Файрволлы повязаны меж собой VPN-линком, и знают, что в какую сеть надо раутить. А вот приходящие по VPN к первой сети юзеры получают адрес 10.1.2.x/8, естественно считая, что сеть 10.1.3.0 находится прямо тут, в локалке, а не удаленно. И при этом нет никакой возможности поменять маску...


И все только потому, что б#$%ские разработчики IOS' а почему-то решили, что правильнее будет самим автоматом выбирать маску подсети для VPN-соединений на основе имеющихся IP адресов, нежели давать администраторам ее назначать. Матных слов не хватает...


comments|Leave a comment

Comments: 5 (click here to reply)    Tags: Компьютеры | Работа


Comments: (add new comment)
(1-5 of 5)
06/21/2007 12:51   pskovalko@livejournal   reply   thread
?????
http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_70/config/vpnadd.htm#wp999102
06/21/2007 13:08   VladStar   reply   thread
О, спасибо. У нас, правда, до сих пор 6.3(2) стоит.
Буду пинать наших сетевиков, чтоб апдейтили до 7.0.
06/21/2007 14:09   pskovalko@livejournal   reply   thread
http://www.cisco.com/en/US/docs/security/pix/pix63/command/reference/gl.html#wp1027172
06/21/2007 15:26   VladStar   reply   thread
А вот это - хрен. Не работает...

PIX525# conf t
PIX525(config)# ip local pool vpnpool1 10.1.2.196-10.1.2.254 mask 255.255.255.0
usage: [no] ip local pool [-]
PIX525(config)# sh ver

Cisco PIX Firewall Version 6.3(2)
Cisco PIX Device Manager Version 3.0(1)

Compiled on Thu 17-Jul-03 08:18 by morlee

[...]
PIX525(config)#
08/15/2007 17:05   vladstar@livejournal   reply   thread
Ура! Не прошло и полгода, как инженеры проапдейтили прошивку до 7.2. Все прошло гладко, кроме VPN'ов. Убив полдня на борьбу с глюками я выяснил, что
1) Выпал access-list для nat'а, который говорит о том, что не надо NAT'ить траффик идущий в LAN-2-LAN VPN.
2) Radius-cistron под FC6 почему-то отказался авторизовывать пользователей (пишет про неверный пароль,и все тут). Причем проксирует нормально, и напрямую "test aaa-server blah-blah-blah" проходит, а воти авторизовать юзеров, пришедших с Cisco VPN клиента через NAS - не может. :( Пришлось заменить его на freeradius, после получасового траха он заработал.
3) Маска на пул действительно теперь ставится и отдается. Осталось только подправить access-лист в нужном месте (это уже завтра, сегодня сил нет...).
Name:    E-mail:
Your e-mail is required, but never shown to public, allowed tags: <b><i><u><a><img><blockquote><font>
Message:

Subscribe: No    Replies only    All comments   
Answer:

(1-5 of 5)
Statistics: (last 30 days / total)
Public posts: 0 / 994
Comments: 0 / 2110
Spam comments: 0 / 98

Archive:

Tags:

*Объявления* (11)
Dvd (2)
English (2)
Fundraising (1)
Halloween (1)
How-to (6)
KIA (1)
Lego (2)
Linux (5)
Mazda 6 (4)
Oracle db (1)
Outer Banks (5)
VA Beach (1)
Авто (5)
Алкоголь (1)
Америка (408)
Андрей (151)
Аська (1)
Бензин (1)
Бессонница (2)
Бизнес (1)
Бред (3)
Видео (17)
Винда (2)
Влад (159)
Воспоминания (25)
Генеалогия (3)
Годовщина (3)
Дед (5)
Документы (11)
Дом (49)
Доминикана (5)
Дороги (31)
Досуг (47)
Друзья (27)
Еда (3)
Животные (10)
Заправка (1)
Зима (2)
Знакомство (1)
Игры (24)
Интернет (62)
История (4)
Кино (4)
Книги (6)
Компьютер (3)
Компьютеры (69)
Консульство (6)
Конференция (1)
Кофе (1)
Кроссворд (1)
Кулинария (1)
Лена (44)
Лето (1)
Литература (1)
Лифты (1)
Математика (3)
Машины (73)
Медицина (12)
Мексика (1)
Мичиган (1)
Мозаика (1)
Музыка (13)
Налоги (1)
Новости (9)
Новый год (5)
Ностальгия (2)
Океан (1)
Опрос (1)
Отдых (14)
Отпуск (10)
Паспорт (7)
Полиция (1)
Праздники (91)
Природа (94)
Проблемы (7)
Программирование (7)
Псков (6)
Путешествия (56)
Работа (83)
Радио (1)
Радиоэлектроника (5)
Ремонт (6)
Рисование (1)
Робот вася (1)
Рождество (4)
Россия (38)
Русский язык (1)
Ручки (1)
Сатира (1)
Свадьба (3)
Семья (31)
Синклер (1)
Снег (7)
Сны (1)
Софт (2)
Спорт (11)
Ссылки (9)
Стихи (2)
Телевидение (3)
Телефоны (17)
Тесты (2)
Техническое (2)
Финансы (12)
Флорида (2)
Фотография (30)
Хобби (4)
Чай (1)
Часы (1)
Шахматы (4)
Школа (16)
Шопинг (3)
Электроника (5)
Юмор (39)

000006416
Server OS is powered by FreeBSD - http://www.freebsd.org/