El siguiente ejemplo muestra la creación de una VPN entre un Firewall Juniper con ScreenOS 5.4 y un Cisco router con el set de Crypto.
La topología es la siguiente:
LAN_lado_Juniper <----> Juniper <---- INTERNET <---> Cisco <--- LAN_lado_Cisco --->
Del lado del Cisco la configuración es la siguiente:
*** BEGIN ***
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key MISECRETO address IP_JUNIPER
crypto map MIVPN 1 ipsec-isakmp
set peer IP_REMOTO
set transform-set MIVPN
match address 140
access-list 140 permit ip LAN_LADO_CISCO 0.0.0.255 LAN_LADO_JUNIPER
crypto ipsec transform-set VPN_to_SW7B esp-3des esp-sha-hmac
interface f0/0
description VPN-SUICHE7B
ip address IP_CISCO 255.255.255.255
crypto map MIVPN
end
*** FIN ***
Aqui podemos ver que el isakmp map utiliza shared secret (clave compartida) para levantar la VPN, MISECRETO es la clave y donde indica IP_JUNIPER hay que colocar el IP del Firewall de la interfaz externa del Juniper.
Luego el Crytp map llamada MIVPN indica el Peer Remoto (nuevamente el IP de la interfaz externa del Juniper, el transform set a utilizar (donde se indica lo que es la fase 2 de la negociación de la VPN) y finalmente el Access-list (ACL con el cual va a hacer match al momento de cifrar y no cifrar los paquetes).
El ACL en realidad define los SA (security association) que se van a intercambiar en la VPN. Es muy importante que utilices un ACL extendido para que puedas definir IPs origen y destino. Es decir, aqui se definen (desde la perspectiva del cisco) cuales son las redes remotas y cuales son las redes locales.
Luego el comando crypto ipsec es en realiad quien define que tipo de cifrado y hash para los datos se va a utilizar. En este caso 3DES y SHA1, sin embargo se puede utilizar DES, MD5, combinaciones y otros.
Finalmente, lo que hay que hacer es aplicar el cryto map a la interfaz por donde va a "transitar" el tráfico en el Cisco, en nuestro caso F0/0
Con lo anterior, ya terminamos con el lado del Cisco...., ahora vamos a Juniper.
Pasos:
1) Crear una interfaz tunnel (tunnel -- interfaces --- new interface) con los siguientes parametros:
* Unnumbered
* Interfaz WAN del Juniper
2) VPN --> Autokey advance --- Gateway
3) New
Debemos dejar la configuración como aparece en la siguiente pantalla:
4) Click en Advance
5) Dejar la configuración como aparece en la siguiente pantalla:
6) VPN --> Autokey advance --- Gateway
7) Click en new
8) Dejar la configuración similar a como aparece en la imagen:
9) Click en advance
10) Dejar la configuración como a aparece en la imagen:
11) Comenzar a pasar tráfico por el tunel (MUY IMPORTANTE)
Luego de esto.., ya debe comenzar a funcionar el tunel sin inconvenientes. La típica prueba en este caso es dejar un ping extendido entre ambos sitios.
Suerte y saludos,
Blog en espanol destinado a diferentes temas tecnicos principalmente en IT y Networking. Se desea cubrir Linux, DNS, DNSSEC, RPKI, BGP, Cisco, Programacion (Bash, Python, etc), Protocolos de Enrutamiento, Seguridad en Redes, VoIP.
martes, 28 de abril de 2009
BGP en IPv6 y Cisco
Configurar BGP sobre IPv6 en Cisco es parecido a IPv4.
En realidad los principios son los mismos de IPv4 tales como:
* Debe existir una ruta en la tabla de enrutamieto para que sea publicada vía BGP
* Hay que crear el peering con el equipo remoto
* Colocar filtros correspondiente tales como filtros entrantes y salientes
Antes de crear la sesión BGP hay que conocer:
* Dirección IPv6 local
* Subred IPv6 a publicar
* Dirección IPv6 remota
* Password (opcional)
Un ejemplo de configuración de BGP sobre IPv6 sería:
router bgp 65501
bgp log-neighbor-changes
neighbor 2820:22:1:1::1 remote-as 1111
neighbor 2820:22:1:1::1 update-source POS3/0
!
address-family ipv6
neighbor 2820:22:3:1::1 activate
network 2820:26::/32
En caso de querer levantar sobre el mismo enlace una sesión BGP en IPv4 es necesario también el siguiente comando:
address-family ipv4
neighbor 2820:22:3:1::1 activate
Comandos utiles para troubleshooting:
1) sh bgp ipv6 unicast (vemos los prefijos ipv6 aprendidos por BGP)
2) sh bgp ipv6 unicast neighbors 2820:22:3:1::1 advertised-routes (prefijos IPv6 que nosotros publicamos al peer)
3) show ipv6 route
Suerte!
En realidad los principios son los mismos de IPv4 tales como:
* Debe existir una ruta en la tabla de enrutamieto para que sea publicada vía BGP
* Hay que crear el peering con el equipo remoto
* Colocar filtros correspondiente tales como filtros entrantes y salientes
Antes de crear la sesión BGP hay que conocer:
* Dirección IPv6 local
* Subred IPv6 a publicar
* Dirección IPv6 remota
* Password (opcional)
Un ejemplo de configuración de BGP sobre IPv6 sería:
router bgp 65501
bgp log-neighbor-changes
neighbor 2820:22:1:1::1 remote-as 1111
neighbor 2820:22:1:1::1 update-source POS3/0
!
address-family ipv6
neighbor 2820:22:3:1::1 activate
network 2820:26::/32
En caso de querer levantar sobre el mismo enlace una sesión BGP en IPv4 es necesario también el siguiente comando:
address-family ipv4
neighbor 2820:22:3:1::1 activate
Comandos utiles para troubleshooting:
1) sh bgp ipv6 unicast (vemos los prefijos ipv6 aprendidos por BGP)
2) sh bgp ipv6 unicast neighbors 2820:22:3:1::1 advertised-routes (prefijos IPv6 que nosotros publicamos al peer)
3) show ipv6 route
Suerte!
jueves, 23 de abril de 2009
IPv6 y Apache
En esta oportunidad indicaré como se configura Apache con soporte para IPv6.
La buena noticia es que a partir de Apache 2.0 el soporte IPv6 viene intrinsico dentro de Apache y en realidad no hay que hacer nada.
Debajo de estas lineas encontraras una configuración que funciona perfectamente en un servidor dualstack ipv4/ipv6 y que adicionalmente posee los comandos ErrorLog y CustomLog para un virtualhosting en IPv6. La ventaja de esta configuración es que permite dentro del mismo servidor separar los logs ipv6 de los ipv6.
La configuración es la siguiente:
Posteriormente reinicias Apache (service httpd restart o /etc/init.d/apache restart) y listo!.
Ahora bien, para revisar que efectivamente tu servidor se encuentre escuchando en el puerto 80 tcp ejecuta los siguientes comandos:
#netstat -pan | grep 80
y
#telnet ::1 80
Con el primer comando puedes ver si tu servidor se encuentra escuchando en IPv6 en el puerto 80. Busca un string similar a:
tcp 0 0 :::80 :::* LISTEN 24972/httpd
y con el segundo comando puedes revisar que efectivamente el puerto 80 responda. El output sería similar al siguiente:
[root@www ~]# telnet ::1 80
Trying ::1...
Connected to ::1 (::1).
Escape character is '^]'.
Saludos,
La buena noticia es que a partir de Apache 2.0 el soporte IPv6 viene intrinsico dentro de Apache y en realidad no hay que hacer nada.
Debajo de estas lineas encontraras una configuración que funciona perfectamente en un servidor dualstack ipv4/ipv6 y que adicionalmente posee los comandos ErrorLog y CustomLog para un virtualhosting en IPv6. La ventaja de esta configuración es que permite dentro del mismo servidor separar los logs ipv6 de los ipv6.
La configuración es la siguiente:
Posteriormente reinicias Apache (service httpd restart o /etc/init.d/apache restart) y listo!.
Ahora bien, para revisar que efectivamente tu servidor se encuentre escuchando en el puerto 80 tcp ejecuta los siguientes comandos:
#netstat -pan | grep 80
y
#telnet ::1 80
Con el primer comando puedes ver si tu servidor se encuentra escuchando en IPv6 en el puerto 80. Busca un string similar a:
tcp 0 0 :::80 :::* LISTEN 24972/httpd
y con el segundo comando puedes revisar que efectivamente el puerto 80 responda. El output sería similar al siguiente:
[root@www ~]# telnet ::1 80
Trying ::1...
Connected to ::1 (::1).
Escape character is '^]'.
Saludos,
martes, 21 de abril de 2009
Actualizar el bootrom de un telefono Polycom
En día de hoy tuve la necesidad de actualizar el bootrom de un telefono Polycom. Este es el procedimiento:
* Bajar el software necesario de: http://polycom.com/support/voice/soundpoint_ip/soundpoint_ip501.html
* Colocar el archivo bootrom.ld en el servidor de provisioning
* Reiniciar el teléfono.
El teléfono detectará la nueva versión y realizará el proceso de manera automática. Verás varias pantallas como: formateando el filesystem, reiniciando, etc. No te preocupes
Mi recomendación: utiliza primero solo un teléfono antes de realizarlo con toda la red.
* Listo!.., verifica la version dentro del menú del teléfono.
Suerte!.
* Bajar el software necesario de: http://polycom.com/support/voice/soundpoint_ip/soundpoint_ip501.html
* Colocar el archivo bootrom.ld en el servidor de provisioning
* Reiniciar el teléfono.
El teléfono detectará la nueva versión y realizará el proceso de manera automática. Verás varias pantallas como: formateando el filesystem, reiniciando, etc. No te preocupes
Mi recomendación: utiliza primero solo un teléfono antes de realizarlo con toda la red.
* Listo!.., verifica la version dentro del menú del teléfono.
Suerte!.
Probar IPv6
Tradicionalmente suelo escribir mis experiencias con IPv6 por ello en esta oportunidad voy a comentar tres pequeños TIPs:
* Cuando quieras probar si estas navegando con IPv6 te recomiendo:
- Visitar http://www.ipv6tf.org. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4
- Visitar http://www.whatismyipv6.co. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4
- Abril la página web de IPv6 de google: http://ipv6.google.com. Esta página solo funciona en IPv6, es imposible utilizarla desde una dirección IPv4
- Realizar ping6 a ipv6.google.com, nuevamente esta dirección solo resuelve en IPv6.
Suerte!
* Cuando quieras probar si estas navegando con IPv6 te recomiendo:
- Visitar http://www.ipv6tf.org. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4
- Visitar http://www.whatismyipv6.co. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4
- Abril la página web de IPv6 de google: http://ipv6.google.com. Esta página solo funciona en IPv6, es imposible utilizarla desde una dirección IPv4
- Realizar ping6 a ipv6.google.com, nuevamente esta dirección solo resuelve en IPv6.
Suerte!
lunes, 13 de abril de 2009
Linksys WRT-54GL y Linux
El otro día conversando con un amigo nos encontrabamos hablando de Linux y redes Wireless, especificamente un Access Point Linksys. Si todavía deseas quedarte con tu Firmware original, te indico varias razones para que lo reconsideres.
Con DD-WRT puedes contar con: VPN, QoS, NAT, Firewall SPI (Stateful Packet Inspection), bloqueo de URLs, colocación de scripts, DMZs, MZs y mucho más.
Entre otras cosas incluso puedes decirle a la caja con cual antena transmita y porque antena reciba. Puedes incluso crear varios SSIDs!. Esto es muy bueno para redes Wireless donde también quieres manejar telefonía IP. En estas situaciones puedes levantar un SSID donde se se encuentre tu red de datos y otro SSID para tu red de Voz...., añade QoS y listo!.., una excelente red wireless.
No voy a entrar en detalle de como utilizar e instalar DD-WRT porque Internet se encuentra inundado de esta información. Te dejo los links principales al respecto:
* http://www.dd-wrt.com/dd-wrtv3/index.php
* http://www.dd-wrt.com/wiki/index.php?title=Espanol
* http://www.dd-wrt.com/dd-wrtv3/dd-wrt/downloads.html
Ojo, DD-WRT se encuentra soportado en muchas otras Cajas
En base a lo anterior imagina una caja de menos de US$ 100 que hago todo esto?. Eres capaz de mencionar otra?
Suerte!
Con DD-WRT puedes contar con: VPN, QoS, NAT, Firewall SPI (Stateful Packet Inspection), bloqueo de URLs, colocación de scripts, DMZs, MZs y mucho más.
Entre otras cosas incluso puedes decirle a la caja con cual antena transmita y porque antena reciba. Puedes incluso crear varios SSIDs!. Esto es muy bueno para redes Wireless donde también quieres manejar telefonía IP. En estas situaciones puedes levantar un SSID donde se se encuentre tu red de datos y otro SSID para tu red de Voz...., añade QoS y listo!.., una excelente red wireless.
No voy a entrar en detalle de como utilizar e instalar DD-WRT porque Internet se encuentra inundado de esta información. Te dejo los links principales al respecto:
* http://www.dd-wrt.com/dd-wrtv3/index.php
* http://www.dd-wrt.com/wiki/index.php?title=Espanol
* http://www.dd-wrt.com/dd-wrtv3/dd-wrt/downloads.html
Ojo, DD-WRT se encuentra soportado en muchas otras Cajas
En base a lo anterior imagina una caja de menos de US$ 100 que hago todo esto?. Eres capaz de mencionar otra?
Suerte!
viernes, 3 de abril de 2009
Habilitar IPv6 en Firewall Juniper / Netscreen
Situación:
Tengo un Firewall Firewall Netscreen / Juniper 5 o 25 o 50 (seguramente tambien sirve en otros modelos) debes realizar lo siguiente para habilitar IPv6.
Procedimiento:
Por medio del CLI revisa las variables con el siguiente comando:
get envar
(debes buscar por ipv6=yes)
Aqui podras ver varias variables y entre ellas revisar si IPv6 se encuentra habilitado o no.
En caso de que no se encuentre; debes habilitarlo con el siguiente comando:
set envar ipv6=yes
save (para grabar la configuracion)
Luego reiniciar el equipo y tanto el CLI como la interfaz Web tendran habilitado IPv6 y podras configurar interfaces, tuneles, routing, etc.
Suerte;
Tengo un Firewall Firewall Netscreen / Juniper 5 o 25 o 50 (seguramente tambien sirve en otros modelos) debes realizar lo siguiente para habilitar IPv6.
Procedimiento:
Por medio del CLI revisa las variables con el siguiente comando:
get envar
(debes buscar por ipv6=yes)
Aqui podras ver varias variables y entre ellas revisar si IPv6 se encuentra habilitado o no.
En caso de que no se encuentre; debes habilitarlo con el siguiente comando:
set envar ipv6=yes
save (para grabar la configuracion)
Luego reiniciar el equipo y tanto el CLI como la interfaz Web tendran habilitado IPv6 y podras configurar interfaces, tuneles, routing, etc.
Suerte;
jueves, 2 de abril de 2009
Media Gateway mas economico que Cisco y compatible con Asterisk
Si te encuentras en la busqueda de un Media Gateway economico para conectar una red de VoIP hacia la PSTN te recomiendo con los ojos cerrados: Epygi.
Son incluso un poco mas que un Media Getaway, son una IP-PBX. Tengo bastante experiencia con esas cajas y me ha ido muy bien.
En mi caso las utilizo para conectar mi servidor Linux a la PSTN y tiene muchas ventajas:
* No es necesario instalar tarjetas en el server
* No hay que compilar nada
* Por lo anterior no hay que bajar el servicio de Asterisk
Con esta caja seguro podrás armar soluciones tan buenas y tan confiables como cualquier equipo Cisco y MUCHO más económico
Son incluso un poco mas que un Media Getaway, son una IP-PBX. Tengo bastante experiencia con esas cajas y me ha ido muy bien.
En mi caso las utilizo para conectar mi servidor Linux a la PSTN y tiene muchas ventajas:
* No es necesario instalar tarjetas en el server
* No hay que compilar nada
* Por lo anterior no hay que bajar el servicio de Asterisk
Con esta caja seguro podrás armar soluciones tan buenas y tan confiables como cualquier equipo Cisco y MUCHO más económico
Comando oculto en Cisco. Conectarse a VIPs
Manejas routers 7500 o 12000 de Cisco?
Probablemente hayas tenido la necesidad o curiosidad de conectarte directamente a una interfaz VIP del router, aquí puedes revisar CPU, memoria, controladoras directamente, etc. Es casi como un pequeño o mini router dentro del router grande (7500/12000).
El comando es el siguiente:
if-con #nro de slot
por ejemplo
coreNNN#if-con 0
Console or Debug [C]:
Entering CONSOLE for VIP4-80 RM7000 0
Type "^C^C^C" or "if-quit" to end this session
VIP-Slot0>ena
VIP-Slot0#sh proc cpu
CPU utilization for five seconds: 18%/18%; one minute: 6%; five minutes: 8%
ETC, aquí puedo hacer lo que desees. Incluso un reload de la VIP
Suerte!
Probablemente hayas tenido la necesidad o curiosidad de conectarte directamente a una interfaz VIP del router, aquí puedes revisar CPU, memoria, controladoras directamente, etc. Es casi como un pequeño o mini router dentro del router grande (7500/12000).
El comando es el siguiente:
if-con #nro de slot
por ejemplo
coreNNN#if-con 0
Console or Debug [C]:
Entering CONSOLE for VIP4-80 RM7000 0
Type "^C^C^C" or "if-quit" to end this session
VIP-Slot0>ena
VIP-Slot0#sh proc cpu
CPU utilization for five seconds: 18%/18%; one minute: 6%; five minutes: 8%
ETC, aquí puedo hacer lo que desees. Incluso un reload de la VIP
Suerte!
miércoles, 1 de abril de 2009
RSS / PHP / MySQL. Website con minimo mantenimiento
Alguna vez has querido hacer una página que no necesite mantenimiento?
en http://www.tumujer.com tengo una página medianamente automatizada donde casi no le hago mantenimiento.
En la página tengo unos "robots" que buscan RSS en internet, los guardan en base de datos y luego con PHP hago el resto!!. Todos los días se actualiza la página.
Ojo, cada vez que imprimo la noticia tengo un link y hago referencia al autor original. Mucho cuidado con esto!.
en http://www.tumujer.com tengo una página medianamente automatizada donde casi no le hago mantenimiento.
En la página tengo unos "robots" que buscan RSS en internet, los guardan en base de datos y luego con PHP hago el resto!!. Todos los días se actualiza la página.
Ojo, cada vez que imprimo la noticia tengo un link y hago referencia al autor original. Mucho cuidado con esto!.
Tienes una red y quieres ir a IPv6?
Si tienes una red, trabajas en un proveedor de servicio y deseas ir a IPv6. Te recomiendo ver esta presentación en power point y ver el video:
http://www.lacnic.net/documentos/lacnicxi/presentaciones/presentacion-lacnic-v6-may-08_Alejandro_Acosta.ppt
mms://lacnic.net/webcasting/lacnicxi/29_5/flip6-04-alejandro.wmv
(para ver el video, te recomiendo copy/paste el URL en tu navegador)
http://www.lacnic.net/documentos/lacnicxi/presentaciones/presentacion-lacnic-v6-may-08_Alejandro_Acosta.ppt
mms://lacnic.net/webcasting/lacnicxi/29_5/flip6-04-alejandro.wmv
(para ver el video, te recomiendo copy/paste el URL en tu navegador)
Polycom 650 con Expansion Module. No logré pegar el xml como parte de los archivos
Luego muchas horas, he logrado configurar el modulo de expansión de mi Polycom 650 vía FTP (por tftp es lo mismo). Aquí les dejo los archivos de configuración (No logré pegar el xml como parte de los archivos, ver el código html de este blog):
ARCHIVO UNO
[root@qwsa]# more 0004f2195cea.cfg
-
-
-
-
ARCHIVO DOS
0004f2195cea-directory.xml
Last Name 1
First Name 1
2107
8
0
0
1
0
Last Name 2
First Name 2
2402
9
0
0
1
0
ARCHIVO UNO
[root@qwsa]# more 0004f2195cea.cfg
-
-
-
-
ARCHIVO DOS
0004f2195cea-directory.xml
Comando oculto en Cisco. Telefonía
Muchas veces es complicado hacer troubleshooting de llamadas en Cisco, quizás debes contactar a una persona que se encuentra en una localidad remota para hacer algún tipo pruebas etc.
En fin, si deseas simular una llama en un equipo puedes hacerlo con el siguiente comando:
csim start
Con este comando puedes simular la llamada donde es el peer al que deseas llamar.
Te recomiendo que coloques previamente terminal monitor para hacer un troubleshooting con más detalle
En fin, si deseas simular una llama en un equipo puedes hacerlo con el siguiente comando:
csim start
Con este comando puedes simular la llamada donde
Te recomiendo que coloques previamente terminal monitor para hacer un troubleshooting con más detalle
Redistribuir ruta por default en RIP
En mi red de varios equipos Cisco (Routers y Switches) quería que algunos equipos aprendieran la ruta por default vía RIP. Pensé que redistribuyendo static en RIP era suficiente (donde una ruta estática era una ruta por default). Lamentablemente no funcionó
Si deseas que redistribuir tu ruta por default en rip debes colocar el proceso de RIP el siguiente comando default-information originate. Quedando algo así:
router rip
version 2
network x.0.0.0
default-information originate
no auto-summary
Si deseas que redistribuir tu ruta por default en rip debes colocar el proceso de RIP el siguiente comando default-information originate. Quedando algo así:
router rip
version 2
network x.0.0.0
default-information originate
no auto-summary
Networking Tips
Gracias por entrar en acostanetwork.blogspot.com.
Aquí se publicaran tips semanales en el area de networking
Aquí se publicaran tips semanales en el area de networking
Suscribirse a:
Entradas (Atom)
BGP Stream: un año de análisis sobre incidentes BGP
BGP Stream: un año de análisis sobre incidentes BGP 04/03/2024 Por Alejandro Acosta , Coordinador de I+D en LACNIC LACNIC presenta la prim...
-
Debido al crecimiento moderado que ha tenido el presente blog se me ocurrió añadir/integrar las estadisticas de google analytics a mi blog. ...
-
Introduccion: En algunas ocasiones es necesario "bajar" o deshabilitar iptables en nuestro Linux, el procedimiento depende de...
-
Saludos, Lo primero que debemos de hacer para quitar el stacking entre los switches es desconectar los cables Stack que los unen.... Es buen...