Рубрика: Сети

mpd PPTP L2TP Windows разделение ип адреса от логина ошибка 619

Здравствуйте дорогие читатели !

Обратились с словами ошибка 619 не подключается, не работает … ололо помоги …

Самое смешное что логин и пароль правильные проверенно мной и полез копаться …

Итак  столкнулся с очередной баго-фичей у windows vpn клиента все мы как админы знаем что ип к логину приклеивается только в том случае если используется вход в домен windows так вот если эта галочка снята и вам полюбому в дебаге видно что приходит в UserName такая каша как ххх.ууу.ууу.ууу//логин  то знайте что этот бред «фича», кто то  уже пытался настроить этот VPN профиль с входом в домен !!!! потому нужно поставить эту долбаную  галочку Включать  домен входа в Windows  на вкладке Параметры   кликнуть по подключению удалить нафиг тот ип или домен который появиться при попытке подключиться в поле  Домен, потом опять войти в Свойства и вкладку Параметры  и опять убрать эту галочку и вуаля подключение работает  !!!

Можно очень долго смотреть на две вещи как течет вода в реке и как юзверь пытается что то настроить …

Ржу и рыдаю одновременно…

Спасибо за внимание !  ровных вам пигов и стабильной работы всех сервисов 😉

Всегда ваш Taras.Kramarets aka ~NiX~

Cisco 76xx RSP 720 mls cef maximum-routes

Здравствуйте товарищи это больше заметка чем руководство к действию …
Когда вам необходимо влить full-view который уже перевалил чётко за 500к маршрутов тут же хочешь не хочешь придется заниматься шаманством … а выглядит сие безобразие вот так :
%MLSCEF-SP-4-FIB_EXCEPTION_THRESHOLD: Hardware CEF entry usage is at 95% capacity for IPv4 unicast protocol.

Казалось бы что проще чем просто вбить:
mls cef maximum-routes ip 768

И будет счастье но не тут то было во первых после применения данной команды нужен ребут, во вторых что делать если после ребута железяка говорит что хочет ребутнутся через 3 минуты что мол меняйте конфигурацию взад,  тут на помощь мне пришло курение очередной доки ) и тогда стало для себя понято что
если на SP и RP разные conf-register на выхлопе будут балалайки и что бы их избежать
достаточно привести их во едино для этого достаточно просто вбить :
Router(config)#config-register 0x2102
или же если в rommon то
rommon 1 >confreg 0x2102
теперь принимайте сколько угодно маршрутов с ограничением в 768 тысяч если же хочеться большего то можно сделать и лям но учитывайте что увиличивая TCAM для ipv4 вы ограничиваете его для IPv6 + IP Multicast учитывая что IPv6 начинает по тихоньку движение в сторону увеличения количества префиксов им нельзя пренебрегать.
На этом все !
Успехов в труде и заработной плате =)
Ваш боевой товарищ Taras.Kramarets aka ~NiX~
з.ы. При копировании статьи ссылка(follow, index) на источник обязательна !

Cisco Dhcp relay и D-Link Разница

Здравствуйте !

Сегодня хочу вкратце рассказать о dhcp relay на cisco как его построить когда у вас сеть из коммутаторов такого бренда как cisco.

Во первых небольшое отступление у D-Link например dhcp relay может работать по двум режимам это dhcp_relay и dhcp_local_relay в чем между ними отличия ?!

dhcp_relay ловит broadcast запрос пользователя делает из него unicast и дописывает к нему optin 82 то есть влан,порт, и remote_id которое по умолчанию будет равным мак адресу коммутатора, допишет свой giaddr и дальше отдает его на dhcp сервер
который в свою очередь вернет ip адрес.

dhcp_local_relay просто дописывает к broadcast пакету пользователя option 82 то есть влан,порт, и remote_id которое по умолчанию будет равным мак адресу коммутатора и отдает этот пакет дальше по влану на L3 интерфейс там ему допишут giaddr и он отправится на dhcp сервер который в свою очередь вернет ip адрес.

Теперь о реализации на Cisco
на cisco дописыванием option 82 на L2 коммутаторах занимается dhcp_snooping он делает идентично тоже самое что и dhcp_local_relay у D-Link за исключением дополнительных плюшек в виде привязки, блокирование порта когда адрес получен не автоматически … у D-Link такое тоже есть но включается отдельно от dhcp_local_relay

Как выглядит реализация на Cisco L2
ip dhcp snooping information option allow-untrusted
ip dhcp-snooping vlan 12 <-тут указываем вланы в которых сидят пользователи
ip dhcp snooping information option
ip dhcp-snooping

Интерфейс куда будет включен пользователь.
interface FastEthernet0/22
description -== Users 12 ==-
switchport access vlan 12
switchport mode access
ip dhcp relay information option-insert
ip dhcp snooping information option allow-untrusted

interface GigabitEthernet0/1
description == Uplink2SRR ==
switchport trunk allowed vlan 12,10,15,2,3
switchport mode trunk
ip dhcp snooping trust <- обязательно на аплинк порту

Как выглядит реализация на Cisco L3

ip dhcp relay information trust-all <- Received DHCP packets may contain relay info option with zero giaddr

ip dhcp relay information policy keep  <- Leave existing information alone

interface vlan 12

ip address 192.168.0.1 255.255.255.0

ip helper-address 192.168.0.254 <- ip адрес вашего dhcp servera

ip dhcp relay information trusted

 

Реализация на dhcp_relay D-Link L2

config dhcp_relay add ipif System 192.168.0.1

config dhcp_relay option_82 check disable

config dhcp_relay option_82 policy replace

config dhcp_relay option_82 state enable

enable dhcp_relay

По умолчанию работает на всех портах и никак иначе …

Это самодостаточная конфигурация … больше ничего делать не нужно релей будет работать.

Реализация на dhcp_local_relay D-Link L2

config dhcp_local_relay option_82 ports 1-24 policy replace <- на пользовательских портах

config dhcp_local_relay option_82 ports 25-26 policy keep <- на магистральных портах

config dhcp_local_relay vlan 12 state enable <- на каком влане будет работать dhcp_local_relay в данном случае влан 12 пользовательский 

enable dhcp_local_relay

 

Реализация для dhcp_local_relay D-Link L3

фактически достаточно настроить dhcp_relay :

config dhcp_relay add ipif System 192.168.0.1

config dhcp_relay option_82 check disable

config dhcp_relay option_82 policy replace

config dhcp_relay option_82 state enable

enable dhcp_relay

или для cisco

ip dhcp relay information trust-all <- Received DHCP packets may contain relay info option with zero giaddr

ip dhcp relay information policy keep  <- Leave existing information alone

interface vlan 12

ip address 192.168.0.1 255.255.255.0

ip helper-address 192.168.0.254 <- ip адрес вашего dhcp servera

ip dhcp relay information trusted

 

Вот и все 😉

EoIP на FreeBSD ( ядерная реализация )

Здравствуйте уважаемые читатели !

Сегодня хочу поделится радостью которую нашел уже как месяцев 5 назад это ядерная реализация Ethernet over IP или EoIP

как ставить ?!)

проще некуда

cd /usr/ports/net/ng_mikrotik_eoip
make && make install && make clean

kldload ng_mikrotik_eoip

2222 id тоннеля одинаковый с обоих сторон.
1.2.3.4 адрес удаленного хоста\ роутера

создаем интерфейс
ngctl
+ mkpeer eiface t ether
+ rmhook t
+ mkpeer ngeth0: mikrotik_eoip ether 2222
+ mkpeer ngeth0:ether ksocket out inet/raw/gre
+ msg ngeth0:ether.out connect inet/1.2.3.4

Вот и все, красиво и изящно … без всяких там программ работающих не на уровне ядра дающих мизерную скорость …
Netgraph наше все 😉

FreeBSD работа с vlan

Здравствуйте !

Вашему внимаю небольшой мануал по работе FreeBSD с Vlan

1) Поддерживает ли ваша сетевая работу с vlan ?

Проверяем :

ifconfig em0   // где em0 имя вашего адаптера

Вывод будет примерно таким :

em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>

О чем он нам говорит ? смотрим на строчку options именно она скажет что поддерживает данная сетевая карта нас интересует строка VLAN_HWTAGGING если она есть мы можем работать с vlan’ами

2) Основные команды работы с vlan

команда : ifconfig vlan10 create

Создаст виртуальный интерфейс vlan с названием vlan10:

посмотрим что у нас получилось :

ifconfig vlan10

Вывод:

vlan10: flags=8002<BROADCAST,MULTICAST> metric 0 mtu 1500
ether 00:00:00:00:00:00
vlan: 0 parent interface: <none>

как мы видим у интерфейса пока нету физического адреса, tag вилана  и родительского интерфейса добавим их :

команда :

ifconfig vlan10 vlan 10 vlandev em0

теперь что есть что ) vlan10 имя интерфейса, vlan 10 tag данного вилана и vlandev em0 указывает на наш родительский интерфейс в данном случае em0

Посмотрим что же у нас получилось ?

ifconfig vlan10

vlan10: flags=8842<BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3<RXCSUM,TXCSUM>
ether 00:bb:bb:bb:bb:7e
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
vlan: 10 parent interface: em0

Все наш vlan готов к работе на этом все извините что не разглагольствую на тему что такое vlan как то в другой раз =)