суббота, 6 декабря 2014 г.

Site-to-Site между Cisco ASA и Cisco Router 1941

Не так давно встала необходимость создание туннеля между головным офисом (далее ГО) и региональным (далее РО). В ГО стоит оборудование Cisco ASA, а в РО имеется маршрутизатор Cisco 1900 серии. Так же пользователям РО необходимо выходить в интернет
 Строим IPsec туннель между ГО и РО
Опишу имеющиеся настройки IP адресов внешних и внутренних интерфейсов оборудования:

Router:
Outside IP - 1.1.1.2/30
Inside network - 10.10.10.0/24

ASA:
Outside IP - 2.2.2.2/30
Inside network - 10.10.20.0/24




Приводить буду только настройки касаемые туннеля, информацию по первоначальной настройке роутера и ASA можно найти в интернете
Первое на что необходимо обратить внимание, это на наличие необходимой лицензий на оборудовании.
Для Cisco Router 1941 вводим команду

Router#show version

и смотрим что имеется лицензия Securityk9


Туннель будет организован с использованием Pre-shared Key
Далее привожу строки из конфигурации отвечающие за организацию туннеля и выхода в интернет

Router Config
-Настраиваем полиси для isakmp и указываем ключ

crypto isakmp policy 2
 authentication pre-share
 group 2
crypto isakmp key вводим_ключ address 2.2.2.2

-указываем тип шифрации (можно использовать различные, главное что бы на обеих сторонах было одинаково

crypto ipsec transform-set ASA-IPSec esp-des esp-sha-hmac
 mode tunnel

-Настраиваем crypto map

crypto map CMAP 10 ipsec-isakmp
 set peer 2.2.2.2
 set transform-set ASA-IPSec
 match address VPN-Traffic

-на интерфейсе который смотрит в интернет указываем созданный crypto map, а так же указываем использование НАТ для выхода в интернет
interface GigabitEthernet0/0
 description internet
 ip address 1.1.1.2 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map CMAP

-на интерфейсе который смотрит в локальную сеть так же указываем НАТ, только inside
interface GigabitEthernet0/1
 description inside
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto

ip route 0.0.0.0 0.0.0.0 1.1.1.1

-указываем внутренние сети РО и ГО соотвественно, через extended access-list

ip access-list extended VPN-Traffic
 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255
!

Для того что бы пользователи могли выходить в интернет, разделяем трафик который необходимо натить в интернет

access-list 101 remark NAT
access-list 101 deny   ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.255.255 -трафик, который не нужно натить
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 remark

-указываем интерфейс на котором происходит НАТ

ip nat inside source list 101 interface GigabitEthernet0/0 overload


Настроить туннель на Cisco ASA можно с использованием ASDM и мастера создания туннелей, но так же привожу часть конфигурации для настройки через консоль
Конфигурация для Cisco ASA

object network RO
 subnet 10.10.10.0 255.255.255.0

object network GO
 subnet 10.10.20.0 255.255.255.0

access-list outside_cryptomap_1 extended permit ip object GO object RO
nat (inside,outside) source static GO GO destination static RO RO no-proxy-arp route-lookup

route outside 0.0.0.0 0.0.0.0 2.2.2.1 1

crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto map outside_map 2 match address outside_cryptomap_1
crypto map outside_map 2 set pfs
crypto map outside_map 2 set peer 1.1.1.2
crypto map outside_map 2 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESPES-SHA ESP-DES-MD5
crypto map outside_map 2 set nat-t-disable

crypto map outside_map interface outside

crypto ikev1 policy 150
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

group-policy GroupPolicy_1.1.1.2 internal
group-policy GroupPolicy_1.1.1.2 attributes
 vpn-tunnel-protocol ikev1

tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 general-attributes
 default-group-policy GroupPolicy_1.1.1.2
tunnel-group 1.1.1.2 ipsec-attributes
 ikev1 pre-shared-key вводим_ключ

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 2.2.2.2 255.255.255.252
!
interface GigabitEthernet0/1
 shutdown
 nameif inside
 security-level 100
 ip address 10.10.20.1 255.255.255.0

понедельник, 30 сентября 2013 г.

Клиент для Zabbix

Блуждая в просторах интернета. наткнулся на интересное приложение под название AndZAbbix. Клиент для системы мониторинга Zabbix под Android.

Имеется как бесплатная так и платная версия. Работает через API. В платной версии можно даже выполнять некоторые действия по настройке системы (добавлять и удалять узлы сети, пользователей, групп пользователей, скрипты и тд)

Что мне понравилось в данной программе, что через нее можно просматривать графики и все параметры узла, причем проваливаться до графика прям из списков параметров и так же отображается последнее значение параметра. Жаль что нельзя настраивать отображение параметров (может и можно, не смотрел еще все настройки или в платной версии может есть).

Определенно это приложение останется на моем смартфоне для удаленного доступа в систему мониторинга Zabbix.

Мониторнг сетевых узлов

Добрый день!

Не так давно задумался развернуть систему мониторинга удаленных узлов (имеется филиальная сеть), но не просто мониторить доступность узлов, а так же получать статистику, благо оборудование позволяло.
На ум пришла программа по мониторингу Zabbix.
C помощью этой программы можно мониторить не только доступность, но и снимать статистику через snmp.

И так имеем, в удаленных офисах оборудование фирмы Cisco.
Описывать установку Zabbix не буду, так как этого добра хватает на просторах интернета. Скажу только одно, если планируете писать на русском языке, создавайте базу для Zabbix в кодировке UTF-8.

Настройка программы дело не хитрое.
Проверять доступность узла можно просто проверкой icmpping и далее проверять не просто последнее значение, а за какой то период времени (имело место не ответ от узла и потеря нескольких пакетов).

Я же хотел получить информацию о загрузке процессора, памяти, и канала связи. для этих целей я воспользовался протоколом SNMP.

Для начала настроим SNMP на самом оборудовании (в данном случае Cisco роутер)
router# conf t
router(config)#snmp-server communiti public RW
router(config)#snmp-server host IP_address version 2c public
где IP_address - IP адрес машины с Zabbix.
Для Cisco ASA:
asa#conf t
asa (config)#snmp-server host nameif IP_address poll community public
где nameif - имя интерфейса
где IP_address - IP адрес машины с Zabbix
Вместо public можно написать другую строку.

Настроил группу узлов и шаблон. Шаблоны удобно использовать если имеется большое количество однотипных устройств. Все сетевое оборудование в филиалах было настроено по одному стандарту (имеется в виду что каналы интернета на всех маршрутизаторах в один и тот же порт).
Далее настроил Элементы данных (Рис.1).

Рис.1 Элементы данных

Настройка очень проста.(Рис.2)
1. Вводим имя
2. Выбираем Тип - SNMPv1 агент
3. Ключ - забиваем любую строку (что бы было понятно что за SNMP параметр смотрится)
4. SNMP OID забиваем числовое значение параметра. (Пример: если необходимо получать входящие данные с порта Ethernet, то ввести необходимо 1.3.6.1.2.1.2.2.1.10.номер_порта/ Начиная с версии 1.5 в Zabbix поддерживаются динамические индексы. Более подробную информацию можете прочитать в справке по Zabbix. Получить номер порта можно через параметр ifDescr. Так как я использовал ОС Linux, то установил на сервер средства snmp и через них посмотрел номер порта на "железке").
5. SNMP Community оставляем по умолчанию, либо вводим значение указанное на вашей "железке".
6. Порт - по умолчанию 161
Остальные настройки в зависимости от необходимости. 

Рис.2


После необходимо добавить узел и привязать к нему созданный шаблон.

Так как имелось большое количество узлов и периодически хотелось видеть получаемую информацию, я создал в шаблоне графики по каждому параметру и по каждому узлу создал комплексный экран. После из комплексных экранов был создан Слайд-шоу, которое выводилось на отдельном мониторе или компьютере.

Так же, чем понравилась система мониторинга Zabbix - это наличие небольшого клиента для смартфона на Android - Zabbkit. Устанавливается из Play Market.

Следующий шаг в настройке системы мониторинга - это сервера.
Но это уже другие "Мысли в слух".



воскресенье, 29 сентября 2013 г.

Корпоративный GMail или как переходили на Google Apps

Не так давно пробовал свои силы в Google Apps, а точнее в переходе с корпоративной почтовой системы на GMail. В данном обзоре я расскажу о том как проходил переход и как решались возникшие проблемы

Первым делом, после произведенных финансовых и административных мероприятий было чтение руководств пользователя по переходу и переносу данных в Google Apps. Имелся сервер AD (Active Directory by Windows) и почтовая система на базе MS Exchange 2007.
Для переноса всех учетных записей из AD  в Google Apps имеется специальная программа под названием Google Apps for Directory Sync. Скачать саму программу, а так же посмотреть руководство по установке и настройке сможете по этой ссылке  http://support.google.com/a/bin/answer.py?hl=ru&answer=106368

Программа имеется как для Windoows так и для Linux, как 32-х так и 64-х разрядные версии. Описывать установку программ не буду, так как установка происходит очень просто, одно скажу что для установки на Linux системах необходимо сначала установить Java.

Для синхронизации паролей учетных записей из AD с GMail необходимо открыть доступ для домен контролера в интернет и установить на каждый домен контролер программу Google Apps Password Sync. Но есть один минус этой программы (это конечно мое мнение), необходимость перезагрузить сервер, что не очень хорошо.

После установки всех необходимых программ и их настройки, создался файл XML, который необходимо добавить в диспетчер задач для автоматической синхронизации пользователей с доменом. Но было одно НО. Сама программа, да и Google Apps принимают данные в кодировке UTF-8, а установленная программа в Windows сохраняла в системной, т.е Unicode. Пришлось еще искать программу конвертер в UTF-8, благо на просторах интернета хватает подобных программ (после переустановил программу под Linux).

Последним шагом осталось перекинуть почту из Exchange в GMail.
Для этого существует программа Google Apps Migration foe Microsoft Exchange.
Но прежде чем выполнять выгрузку почтовых сообщений, необходимо произвести некоторые приготовления.
1. Необходимо создать пользователя с правами администратора ко всем почтовым ящикам в Exchange и настроить его в MS Outlook.
2. Создать файл в формате CVS вида имя_пользователя_Exchange, Имя_пользователя_GMail
3. В Google Apps настроить проверку подлинности и ключ

Проблема которая пока так и осталась не решенной - это нормальная миграция подразделений в под-организации GMail.

Это конечно не  полное руководство по переходу, но если у кого имеются вопросы или какие то мысли, всегда готов поделиться и обсудить.

Пишите в личку, комментируйте

пятница, 28 декабря 2012 г.

Приветствую Вас, посетители блога!
Порой в голове созревают различные мысли и некоторыми хочется поделится.

В данном блоге я пуду писать свои мысли на тему IT, описывать свою работу и как решал имеющиеся проблемы с установкой железа, софта, коммутаторв серверов и тд.

Пишу впервые, потому строго не судите.

Всегда буду рад комментариям и критике