martes, 28 de abril de 2009

Ejemplo VPN entre Juniper y Cisco

El siguiente ejemplo muestra la creación de una VPN entre un Firewall Juniper con ScreenOS 5.4 y un Cisco router con el set de Crypto.

La topología es la siguiente:

LAN_lado_Juniper <----> Juniper <---- INTERNET <---> Cisco <--- LAN_lado_Cisco --->

Del lado del Cisco la configuración es la siguiente:

*** BEGIN ***
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key MISECRETO address IP_JUNIPER


crypto map MIVPN 1 ipsec-isakmp
set peer IP_REMOTO
set transform-set MIVPN
match address 140

access-list 140 permit ip LAN_LADO_CISCO 0.0.0.255 LAN_LADO_JUNIPER
crypto ipsec transform-set VPN_to_SW7B esp-3des esp-sha-hmac

interface f0/0
description VPN-SUICHE7B
ip address IP_CISCO 255.255.255.255
crypto map MIVPN
end

*** FIN ***

Aqui podemos ver que el isakmp map utiliza shared secret (clave compartida) para levantar la VPN, MISECRETO es la clave y donde indica IP_JUNIPER hay que colocar el IP del Firewall de la interfaz externa del Juniper.

Luego el Crytp map llamada MIVPN indica el Peer Remoto (nuevamente el IP de la interfaz externa del Juniper, el transform set a utilizar (donde se indica lo que es la fase 2 de la negociación de la VPN) y finalmente el Access-list (ACL con el cual va a hacer match al momento de cifrar y no cifrar los paquetes).

El ACL en realidad define los SA (security association) que se van a intercambiar en la VPN. Es muy importante que utilices un ACL extendido para que puedas definir IPs origen y destino. Es decir, aqui se definen (desde la perspectiva del cisco) cuales son las redes remotas y cuales son las redes locales.

Luego el comando crypto ipsec es en realiad quien define que tipo de cifrado y hash para los datos se va a utilizar. En este caso 3DES y SHA1, sin embargo se puede utilizar DES, MD5, combinaciones y otros.

Finalmente, lo que hay que hacer es aplicar el cryto map a la interfaz por donde va a "transitar" el tráfico en el Cisco, en nuestro caso F0/0

Con lo anterior, ya terminamos con el lado del Cisco...., ahora vamos a Juniper.

Pasos:

1) Crear una interfaz tunnel (tunnel -- interfaces --- new interface) con los siguientes parametros:
* Unnumbered
* Interfaz WAN del Juniper
2) VPN --> Autokey advance --- Gateway
3) New

Debemos dejar la configuración como aparece en la siguiente pantalla:



4) Click en Advance
5) Dejar la configuración como aparece en la siguiente pantalla:



6) VPN --> Autokey advance --- Gateway

7) Click en new

8) Dejar la configuración similar a como aparece en la imagen:



9) Click en advance

10) Dejar la configuración como a aparece en la imagen:



11) Comenzar a pasar tráfico por el tunel (MUY IMPORTANTE)

Luego de esto.., ya debe comenzar a funcionar el tunel sin inconvenientes. La típica prueba en este caso es dejar un ping extendido entre ambos sitios.

Suerte y saludos,

BGP en IPv6 y Cisco

Configurar BGP sobre IPv6 en Cisco es parecido a IPv4.
En realidad los principios son los mismos de IPv4 tales como:
* Debe existir una ruta en la tabla de enrutamieto para que sea publicada vía BGP
* Hay que crear el peering con el equipo remoto
* Colocar filtros correspondiente tales como filtros entrantes y salientes

Antes de crear la sesión BGP hay que conocer:
* Dirección IPv6 local
* Subred IPv6 a publicar
* Dirección IPv6 remota
* Password (opcional)

Un ejemplo de configuración de BGP sobre IPv6 sería:

router bgp 65501
bgp log-neighbor-changes
neighbor 2820:22:1:1::1 remote-as 1111
neighbor 2820:22:1:1::1 update-source POS3/0
!
address-family ipv6
neighbor 2820:22:3:1::1 activate
network 2820:26::/32

En caso de querer levantar sobre el mismo enlace una sesión BGP en IPv4 es necesario también el siguiente comando:

address-family ipv4
neighbor 2820:22:3:1::1 activate

Comandos utiles para troubleshooting:

1) sh bgp ipv6 unicast (vemos los prefijos ipv6 aprendidos por BGP)
2) sh bgp ipv6 unicast neighbors 2820:22:3:1::1 advertised-routes (prefijos IPv6 que nosotros publicamos al peer)
3) show ipv6 route

Suerte!

jueves, 23 de abril de 2009

IPv6 y Apache

En esta oportunidad indicaré como se configura Apache con soporte para IPv6.
La buena noticia es que a partir de Apache 2.0 el soporte IPv6 viene intrinsico dentro de Apache y en realidad no hay que hacer nada.
Debajo de estas lineas encontraras una configuración que funciona perfectamente en un servidor dualstack ipv4/ipv6 y que adicionalmente posee los comandos ErrorLog y CustomLog para un virtualhosting en IPv6. La ventaja de esta configuración es que permite dentro del mismo servidor separar los logs ipv6 de los ipv6.

La configuración es la siguiente:





Posteriormente reinicias Apache (service httpd restart o /etc/init.d/apache restart) y listo!.

Ahora bien, para revisar que efectivamente tu servidor se encuentre escuchando en el puerto 80 tcp ejecuta los siguientes comandos:

#netstat -pan | grep 80
y
#telnet ::1 80

Con el primer comando puedes ver si tu servidor se encuentra escuchando en IPv6 en el puerto 80. Busca un string similar a:
tcp 0 0 :::80 :::* LISTEN 24972/httpd

y con el segundo comando puedes revisar que efectivamente el puerto 80 responda. El output sería similar al siguiente:

[root@www ~]# telnet ::1 80
Trying ::1...
Connected to ::1 (::1).
Escape character is '^]'.


Saludos,

martes, 21 de abril de 2009

Actualizar el bootrom de un telefono Polycom

En día de hoy tuve la necesidad de actualizar el bootrom de un telefono Polycom. Este es el procedimiento:

* Bajar el software necesario de: http://polycom.com/support/voice/soundpoint_ip/soundpoint_ip501.html

* Colocar el archivo bootrom.ld en el servidor de provisioning

* Reiniciar el teléfono.
El teléfono detectará la nueva versión y realizará el proceso de manera automática. Verás varias pantallas como: formateando el filesystem, reiniciando, etc. No te preocupes
Mi recomendación: utiliza primero solo un teléfono antes de realizarlo con toda la red.

* Listo!.., verifica la version dentro del menú del teléfono.

Suerte!.

Probar IPv6

Tradicionalmente suelo escribir mis experiencias con IPv6 por ello en esta oportunidad voy a comentar tres pequeños TIPs:

* Cuando quieras probar si estas navegando con IPv6 te recomiendo:

- Visitar http://www.ipv6tf.org. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4

- Visitar http://www.whatismyipv6.co. En esta página puedes ver con cual dirección IPv6 te encuentras navegando. En caso negativo, la página te mostrará tu dirección IPv4

- Abril la página web de IPv6 de google: http://ipv6.google.com. Esta página solo funciona en IPv6, es imposible utilizarla desde una dirección IPv4

- Realizar ping6 a ipv6.google.com, nuevamente esta dirección solo resuelve en IPv6.



Suerte!

lunes, 13 de abril de 2009

Linksys WRT-54GL y Linux

El otro día conversando con un amigo nos encontrabamos hablando de Linux y redes Wireless, especificamente un Access Point Linksys. Si todavía deseas quedarte con tu Firmware original, te indico varias razones para que lo reconsideres.

Con DD-WRT puedes contar con: VPN, QoS, NAT, Firewall SPI (Stateful Packet Inspection), bloqueo de URLs, colocación de scripts, DMZs, MZs y mucho más.

Entre otras cosas incluso puedes decirle a la caja con cual antena transmita y porque antena reciba. Puedes incluso crear varios SSIDs!. Esto es muy bueno para redes Wireless donde también quieres manejar telefonía IP. En estas situaciones puedes levantar un SSID donde se se encuentre tu red de datos y otro SSID para tu red de Voz...., añade QoS y listo!.., una excelente red wireless.

No voy a entrar en detalle de como utilizar e instalar DD-WRT porque Internet se encuentra inundado de esta información. Te dejo los links principales al respecto:

* http://www.dd-wrt.com/dd-wrtv3/index.php
* http://www.dd-wrt.com/wiki/index.php?title=Espanol
* http://www.dd-wrt.com/dd-wrtv3/dd-wrt/downloads.html

Ojo, DD-WRT se encuentra soportado en muchas otras Cajas
En base a lo anterior imagina una caja de menos de US$ 100 que hago todo esto?. Eres capaz de mencionar otra?

Suerte!

viernes, 3 de abril de 2009

Habilitar IPv6 en Firewall Juniper / Netscreen

Situación:
Tengo un Firewall Firewall Netscreen / Juniper 5 o 25 o 50 (seguramente tambien sirve en otros modelos) debes realizar lo siguiente para habilitar IPv6.

Procedimiento:

Por medio del CLI revisa las variables con el siguiente comando:

get envar

(debes buscar por ipv6=yes)

Aqui podras ver varias variables y entre ellas revisar si IPv6 se encuentra habilitado o no.

En caso de que no se encuentre;  debes habilitarlo con el siguiente comando:

set envar ipv6=yes
save (para grabar la configuracion)

Luego reiniciar el equipo y tanto el CLI como la interfaz Web tendran habilitado IPv6 y podras configurar interfaces, tuneles, routing, etc.

Suerte;

BGP Stream: un año de análisis sobre incidentes BGP

BGP Stream: un año de análisis sobre incidentes BGP 04/03/2024 Por  Alejandro Acosta , Coordinador de I+D en LACNIC LACNIC presenta  la prim...