martes, 28 de abril de 2009

Ejemplo VPN entre Juniper y Cisco

El siguiente ejemplo muestra la creación de una VPN entre un Firewall Juniper con ScreenOS 5.4 y un Cisco router con el set de Crypto.

La topología es la siguiente:

LAN_lado_Juniper <----> Juniper <---- INTERNET <---> Cisco <--- LAN_lado_Cisco --->

Del lado del Cisco la configuración es la siguiente:

*** BEGIN ***
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key MISECRETO address IP_JUNIPER


crypto map MIVPN 1 ipsec-isakmp
set peer IP_REMOTO
set transform-set MIVPN
match address 140

access-list 140 permit ip LAN_LADO_CISCO 0.0.0.255 LAN_LADO_JUNIPER
crypto ipsec transform-set VPN_to_SW7B esp-3des esp-sha-hmac

interface f0/0
description VPN-SUICHE7B
ip address IP_CISCO 255.255.255.255
crypto map MIVPN
end

*** FIN ***

Aqui podemos ver que el isakmp map utiliza shared secret (clave compartida) para levantar la VPN, MISECRETO es la clave y donde indica IP_JUNIPER hay que colocar el IP del Firewall de la interfaz externa del Juniper.

Luego el Crytp map llamada MIVPN indica el Peer Remoto (nuevamente el IP de la interfaz externa del Juniper, el transform set a utilizar (donde se indica lo que es la fase 2 de la negociación de la VPN) y finalmente el Access-list (ACL con el cual va a hacer match al momento de cifrar y no cifrar los paquetes).

El ACL en realidad define los SA (security association) que se van a intercambiar en la VPN. Es muy importante que utilices un ACL extendido para que puedas definir IPs origen y destino. Es decir, aqui se definen (desde la perspectiva del cisco) cuales son las redes remotas y cuales son las redes locales.

Luego el comando crypto ipsec es en realiad quien define que tipo de cifrado y hash para los datos se va a utilizar. En este caso 3DES y SHA1, sin embargo se puede utilizar DES, MD5, combinaciones y otros.

Finalmente, lo que hay que hacer es aplicar el cryto map a la interfaz por donde va a "transitar" el tráfico en el Cisco, en nuestro caso F0/0

Con lo anterior, ya terminamos con el lado del Cisco...., ahora vamos a Juniper.

Pasos:

1) Crear una interfaz tunnel (tunnel -- interfaces --- new interface) con los siguientes parametros:
* Unnumbered
* Interfaz WAN del Juniper
2) VPN --> Autokey advance --- Gateway
3) New

Debemos dejar la configuración como aparece en la siguiente pantalla:



4) Click en Advance
5) Dejar la configuración como aparece en la siguiente pantalla:



6) VPN --> Autokey advance --- Gateway

7) Click en new

8) Dejar la configuración similar a como aparece en la imagen:



9) Click en advance

10) Dejar la configuración como a aparece en la imagen:



11) Comenzar a pasar tráfico por el tunel (MUY IMPORTANTE)

Luego de esto.., ya debe comenzar a funcionar el tunel sin inconvenientes. La típica prueba en este caso es dejar un ping extendido entre ambos sitios.

Suerte y saludos,

BGP en IPv6 y Cisco

Configurar BGP sobre IPv6 en Cisco es parecido a IPv4.
En realidad los principios son los mismos de IPv4 tales como:
* Debe existir una ruta en la tabla de enrutamieto para que sea publicada vía BGP
* Hay que crear el peering con el equipo remoto
* Colocar filtros correspondiente tales como filtros entrantes y salientes

Antes de crear la sesión BGP hay que conocer:
* Dirección IPv6 local
* Subred IPv6 a publicar
* Dirección IPv6 remota
* Password (opcional)

Un ejemplo de configuración de BGP sobre IPv6 sería:

router bgp 65501
bgp log-neighbor-changes
neighbor 2820:22:1:1::1 remote-as 1111
neighbor 2820:22:1:1::1 update-source POS3/0
!
address-family ipv6
neighbor 2820:22:3:1::1 activate
network 2820:26::/32

En caso de querer levantar sobre el mismo enlace una sesión BGP en IPv4 es necesario también el siguiente comando:

address-family ipv4
neighbor 2820:22:3:1::1 activate

Comandos utiles para troubleshooting:

1) sh bgp ipv6 unicast (vemos los prefijos ipv6 aprendidos por BGP)
2) sh bgp ipv6 unicast neighbors 2820:22:3:1::1 advertised-routes (prefijos IPv6 que nosotros publicamos al peer)
3) show ipv6 route

Suerte!

jueves, 23 de abril de 2009

IPv6 y Apache

En esta oportunidad indicaré como se configura Apache con soporte para IPv6.
La buena noticia es que a partir de Apache 2.0 el soporte IPv6 viene intrinsico dentro de Apache y en realidad no hay que hacer nada.
Debajo de estas lineas encontraras una configuración que funciona perfectamente en un servidor dualstack ipv4/ipv6 y que adicionalmente posee los comandos ErrorLog y CustomLog para un virtualhosting en IPv6. La ventaja de esta configuración es que permite dentro del mismo servidor separar los logs ipv6 de los ipv6.

La configuración es la siguiente:





Posteriormente reinicias Apache (service httpd restart o /etc/init.d/apache restart) y listo!.

Ahora bien, para revisar que efectivamente tu servidor se encuentre escuchando en el puerto 80 tcp ejecuta los siguientes comandos:

#netstat -pan | grep 80
y
#telnet ::1 80

Con el primer comando puedes ver si tu servidor se encuentra escuchando en IPv6 en el puerto 80. Busca un string similar a:
tcp 0 0 :::80 :::* LISTEN 24972/httpd

y con el segundo comando puedes revisar que efectivamente el puerto 80 responda. El output sería similar al siguiente:

[root@www ~]# telnet ::1 80
Trying ::1...
Connected to ::1 (::1).
Escape character is '^]'.


Saludos,

martes, 21 de abril de 2009

Actualizar el bootrom de un telefono Polycom

En día de hoy tuve la necesidad de actualizar el bootrom de un telefono Polycom. Este es el procedimiento:

* Bajar el software necesario de: http://polycom.com/support/voice/soundpoint_ip/soundpoint_ip501.html

* Colocar el archivo bootrom.ld en el servidor de provisioning

* Reiniciar el teléfono.
El teléfono detectará la nueva versión y realizará el proceso de manera automática. Verás varias pantallas como: formateando el filesystem, reiniciando, etc. No te preocupes
Mi recomendación: utiliza primero solo un teléfono antes de realizarlo con toda la red.

* Listo!.., verifica la version dentro del menú del teléfono.

Suerte!.

Probar IPv6

Tradicionalmente suelo escribir mis experiencias con IPv6 por ello en esta oportunidad voy a comentar tres pequeños TIPs:

* Cuando quieras probar si estas navegando con IPv6 te recomiendo:

- Visitar http://www.ipv6tf.org. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4

- Visitar http://www.whatismyipv6.co. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4

- Abril la página web de IPv6 de google: http://ipv6.google.com. Esta página solo funciona en IPv6, es imposible utilizarla desde una dirección IPv4

- Realizar ping6 a ipv6.google.com, nuevamente esta dirección solo resuelve en IPv6.



Suerte!

lunes, 13 de abril de 2009

Linksys WRT-54GL y Linux

El otro día conversando con un amigo nos encontrabamos hablando de Linux y redes Wireless, especificamente un Access Point Linksys. Si todavía deseas quedarte con tu Firmware original, te indico varias razones para que lo reconsideres.

Con DD-WRT puedes contar con: VPN, QoS, NAT, Firewall SPI (Stateful Packet Inspection), bloqueo de URLs, colocación de scripts, DMZs, MZs y mucho más.

Entre otras cosas incluso puedes decirle a la caja con cual antena transmita y porque antena reciba. Puedes incluso crear varios SSIDs!. Esto es muy bueno para redes Wireless donde también quieres manejar telefonía IP. En estas situaciones puedes levantar un SSID donde se se encuentre tu red de datos y otro SSID para tu red de Voz...., añade QoS y listo!.., una excelente red wireless.

No voy a entrar en detalle de como utilizar e instalar DD-WRT porque Internet se encuentra inundado de esta información. Te dejo los links principales al respecto:

* http://www.dd-wrt.com/dd-wrtv3/index.php
* http://www.dd-wrt.com/wiki/index.php?title=Espanol
* http://www.dd-wrt.com/dd-wrtv3/dd-wrt/downloads.html

Ojo, DD-WRT se encuentra soportado en muchas otras Cajas
En base a lo anterior imagina una caja de menos de US$ 100 que hago todo esto?. Eres capaz de mencionar otra?

Suerte!

viernes, 3 de abril de 2009

Habilitar IPv6 en Firewall Juniper / Netscreen

Situación:
Tengo un Firewall Firewall Netscreen / Juniper 5 o 25 o 50 (seguramente tambien sirve en otros modelos) debes realizar lo siguiente para habilitar IPv6.

Procedimiento:

Por medio del CLI revisa las variables con el siguiente comando:

get envar

(debes buscar por ipv6=yes)

Aqui podras ver varias variables y entre ellas revisar si IPv6 se encuentra habilitado o no.

En caso de que no se encuentre;  debes habilitarlo con el siguiente comando:

set envar ipv6=yes
save (para grabar la configuracion)

Luego reiniciar el equipo y tanto el CLI como la interfaz Web tendran habilitado IPv6 y podras configurar interfaces, tuneles, routing, etc.

Suerte;

jueves, 2 de abril de 2009

Media Gateway mas economico que Cisco y compatible con Asterisk

Si te encuentras en la busqueda de un Media Gateway economico para conectar una red de VoIP hacia la PSTN te recomiendo con los ojos cerrados: Epygi.
Son incluso un poco mas que un Media Getaway, son una IP-PBX. Tengo bastante experiencia con esas cajas y me ha ido muy bien.
En mi caso las utilizo para conectar mi servidor Linux a la PSTN y tiene muchas ventajas:
* No es necesario instalar tarjetas en el server
* No hay que compilar nada
* Por lo anterior no hay que bajar el servicio de Asterisk

Con esta caja seguro podrás armar soluciones tan buenas y tan confiables como cualquier equipo Cisco y MUCHO más económico

Comando oculto en Cisco. Conectarse a VIPs

Manejas routers 7500 o 12000 de Cisco?

Probablemente hayas tenido la necesidad o curiosidad de conectarte directamente a una interfaz VIP del router, aquí puedes revisar CPU, memoria, controladoras directamente, etc. Es casi como un pequeño o mini router dentro del router grande (7500/12000).

El comando es el siguiente:
if-con #nro de slot

por ejemplo

coreNNN#if-con 0
Console or Debug [C]:
Entering CONSOLE for VIP4-80 RM7000 0
Type "^C^C^C" or "if-quit" to end this session


VIP-Slot0>ena
VIP-Slot0#sh proc cpu
CPU utilization for five seconds: 18%/18%; one minute: 6%; five minutes: 8%



ETC, aquí puedo hacer lo que desees. Incluso un reload de la VIP

Suerte!

miércoles, 1 de abril de 2009

RSS / PHP / MySQL. Website con minimo mantenimiento

Alguna vez has querido hacer una página que no necesite mantenimiento?
en http://www.tumujer.com tengo una página medianamente automatizada donde casi no le hago mantenimiento.

En la página tengo unos "robots" que buscan RSS en internet, los guardan en base de datos y luego con PHP hago el resto!!. Todos los días se actualiza la página.

Ojo, cada vez que imprimo la noticia tengo un link y hago referencia al autor original. Mucho cuidado con esto!.

Tienes una red y quieres ir a IPv6?

Si tienes una red, trabajas en un proveedor de servicio y deseas ir a IPv6. Te recomiendo ver esta presentación en power point y ver el video:

http://www.lacnic.net/documentos/lacnicxi/presentaciones/presentacion-lacnic-v6-may-08_Alejandro_Acosta.ppt


mms://lacnic.net/webcasting/lacnicxi/29_5/flip6-04-alejandro.wmv

(para ver el video, te recomiendo copy/paste el URL en tu navegador)

Polycom 650 con Expansion Module. No logré pegar el xml como parte de los archivos

Luego muchas horas, he logrado configurar el modulo de expansión de mi Polycom 650 vía FTP (por tftp es lo mismo). Aquí les dejo los archivos de configuración (No logré pegar el xml como parte de los archivos, ver el código html de este blog):

ARCHIVO UNO
[root@qwsa]# more 0004f2195cea.cfg
-
-



-

-




ARCHIVO DOS
0004f2195cea-directory.xml





Last Name 1
First Name 1
2107
8
3

0
0
1
0



Last Name 2
First Name 2
2402
9
3

0
0
1
0


Comando oculto en Cisco. Telefonía

Muchas veces es complicado hacer troubleshooting de llamadas en Cisco, quizás debes contactar a una persona que se encuentra en una localidad remota para hacer algún tipo pruebas etc.
En fin, si deseas simular una llama en un equipo puedes hacerlo con el siguiente comando:

csim start

Con este comando puedes simular la llamada donde es el peer al que deseas llamar.

Te recomiendo que coloques previamente terminal monitor para hacer un troubleshooting con más detalle

Redistribuir ruta por default en RIP

En mi red de varios equipos Cisco (Routers y Switches) quería que algunos equipos aprendieran la ruta por default vía RIP. Pensé que redistribuyendo static en RIP era suficiente (donde una ruta estática era una ruta por default). Lamentablemente no funcionó

Si deseas que redistribuir tu ruta por default en rip debes colocar el proceso de RIP el siguiente comando default-information originate. Quedando algo así:

router rip
version 2
network x.0.0.0
default-information originate
no auto-summary

Networking Tips

Gracias por entrar en acostanetwork.blogspot.com.
Aquí se publicaran tips semanales en el area de networking

BGP Stream: un año de análisis sobre incidentes BGP

BGP Stream: un año de análisis sobre incidentes BGP 04/03/2024 Por  Alejandro Acosta , Coordinador de I+D en LACNIC LACNIC presenta  la prim...