Несоответствие алгоритмов шифрования SSH
Иногда встречается устаревшее оборудование, к которому необходимо подключиться по SSH. При подключении получаем сообщение:
Unable to negotiate with 192.168.1.1 port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1
Подключиться в таком случае можно следующей командой:
ssh -c aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc -x -l user XXX.XXX.XXX.XXX
Или добавить сразу в конфигурацию /etc/ssh/ssh_config
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
StrictHostKeyChecking accept-new
И после этого перезапустить sshd
21.04.2022
· 
XDriver · 
Комментариев нет
Метки: linux, ssh · Рубрики: Linux
Скрипт для Cisco (IP SLA)
Имеется роутер CISCO. Время от времени необходимо выполнить некоторые команды по какому-либо событию.
Самый простой случай, используемый всеми — это IP SLA, которым обычно мониторят доступность канала, и в случае чего, меняют маршрут по умолчанию.
Но есть и другое применение, в котором можно выполнять произвольные команды. Например, передергивать интерфейсы или другие нужные команды.
Например, скрипт передергивающий туннельный интерфейс.
ip sla 1
icmp-jitter 10.254.0.1 num-packets 5 interval 100
timeout 1000
threshold 1000
ip sla schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!
event manager applet interface-shut
event track 1 state down
action 0.0 cli command "enable"
action 0.1 cli command "conf t"
action 1.0 cli command "interface tun1"
action 2.1 cli command "shut"
action 2.2 syslog msg "interface-shut tun1 shuted"
action 2.3 cli command "no shut"
action 3.0 syslog msg "interface-shut tun1 restored"
Когда перестает пинговаться второй конец туннеля, он перезагружается.
24.03.2020
· XDriver · Комментариев нет
Рубрики: Без рубрики
Очистка Windows 10
Когда ваша система Wndows 10 тормозит и у вас при этом закончилось место на системном диске — есть смысл очистить систему от ненужного системного мусора.
Два самых «замусоренных» каталога в системе, которые не «очевидны», но очень «поедают» свободное место — это c:\windows\installer и c:\windows\WinSxS.
Безопасная очистка c:\windows\installer
Утилита PatchCleaner
Скачать с сайта разработчика
Скачать с этого сайта
Очистка c:\windows\winsxs
Утилита Dism++
Скачать с сайта разработчика
Скачать с этого сайта
Ручная очистка встроенной утилитой dism
Анализ состояния
Dism.exe /online /cleanup-image /AnalyzeComponentStore
Очистка
Dism.exe /online /cleanup-image /StartComponentCleanup
27.12.2019
· XDriver · Комментариев нет
Метки: Windows, Windows Installer, WinSxS · Рубрики: Windows
IPSec+GRE за NAT, с выходом в сеть через главный офис
ROUTER-1
Главный офис, с реальным IP-адресом.
YYY.YYY.YYY.114 — IP-адрес удаленного офиса
XXX.XXX.XXX.200 — собственный IP-адрес
XXX.XXX.XXX.1 — IP-адрес шлюза провайдера
crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address YYY.YYY.YYY.114
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile IPSEC
set transform-set IPSEC
interface Tunnel2
description -= TO_REMOTE_OFFICE =-
ip address 10.0.0.1 255.255.255.252
ip mtu 1400
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
load-interval 30
tunnel source FastEthernet0/1
tunnel destination YYY.YYY.YYY.114
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
interface FastEthernet0/0
description -= LAN =-
ip address 192.168.2.200 255.255.255.0
interface FastEthernet0/1
description -= WAN =-
ip address XXX.XXX.XXX.200 255.255.255.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1
ip nat inside source list REMOTE_OFFICE interface FastEthernet0/1 overload
ip access-list standard REMOTE_OFFICE
permit 10.0.0.0 0.0.0.3
ROUTER-2
В удаленном офисе, находится внутри сети, за NAT
Выходим в интернет с адресами из главного офиса.
XXX.XXX.XXX.200 — IP-адрес главного офиса
YYY.YYY.YYY.114 — собственный IP-адрес
YYY.YYY.YYY.118 — IP-адрес шлюза провайдера
crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address XXX.XXX.XXX.200
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile IPSEC
set transform-set IPSEC
interface Tunnel2
description -= TUNNEL_TO_OFFICE =-
ip address 10.0.0.2 255.255.255.252
ip mtu 1400
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/0
tunnel destination XXX.XXX.XXX.200
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
interface GigabitEthernet0/0
description -= WAN =-
ip address YYY.YYY.YYY.114 255.255.255.248
interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source list NAT_ACL interface Tunnel2 overload
ip route 0.0.0.0 0.0.0.0 Tunnel2
ip route XXX.XXX.XXX.200 255.255.255.255 YYY.YYY.YYY.118
ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255
В конечном итоге получает шифрованный туннель между двумя офисами. При этом удаленный офис выходит в интернет с адресами главного офиса.
В такой конфигурации маршрутизатор второго офиса может находиться как за NAT, так и иметь реальный IP-адрес.
09.06.2018
· XDriver · Комментариев нет
Метки: cisco, GRE, IPsec · Рубрики: Cisco
Cisco L2TP/IPsec client to UniFi
Возникла задача — нужно получить IP-адрес одной страны в сети другой страны для различных нужд.
Это может пригодиться для предоставления различных сервисов, таких как, например, просмотр российских ТВ-каналов в стране, где такое вещание не ведется, или же есть какие-либо другие ограничения по geo-ip.
И так, в компании работает оборудование UniFi. На удаленном объекте имеется ненужная Cisco 1921, которую решено задействовать для целей подключения PPTP VPN-туннеля к UniFi USG. Скорости и безопасности стало понемногу не хватать, в итоге подключение по PPTP-VPN к USG (UniFi) решено было переделать на L2TP/IPsec, так же к UniFi USG
service internal
pseudowire-class L2TP
encapsulation l2tpv2
ip local interface GigabitEthernet0/0
crypto isakmp policy 20
encr aes
authentication pre-share
group 14
crypto isakmp key VerySecretKey address YYY.YYY.YYY.30
crypto ipsec transform-set ESP-AES-SHA1 esp-aes esp-sha-hmac
mode transport
crypto map L2TP_VPN 10 ipsec-isakmp
set peer YYY.YYY.YYY.30
set transform-set ESP-AES-SHA1
match address L2TP_TRAFFIC
interface GigabitEthernet0/0
description -= WAN =-
ip address XXX.XXX.XXX.10 255.255.255.0
crypto map L2TP_VPN
interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface Virtual-PPP1
description -= L2TP Tunnel =-
ip address negotiated
ip nat outside
ip policy route-map clear-df
ppp eap refuse
ppp chap hostname USERNAME
ppp chap password USERPASS
ppp ipcp address accept
no cdp enable
pseudowire YYY.YYY.YYY.30 1 encapsulation l2tpv2 pw-class L2TP
ip nat inside source list NAT_ACL interface Virtual-PPP1 overload
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route YYY.YYY.YYY.30 255.255.255.255 XXX.XXX.XXX.1
ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255
ip access-list extended L2TP_TRAFFIC
permit udp host XXX.XXX.XXX.10 eq 1701 host YYY.YYY.YYY.30 eq 1701
route-map clear-df permit 10
match ip address 101
set ip df 0
access-list 101 permit tcp any any
В итоге, скорость выше чем у PPTP-VPN подключения, работает через NAT, трафик надежно зашифрован.
XXX.XXX.XXX.10 — наш WAN адрес.
YYY.YYY.YYY.30 — адрес удаленного PPTP-VPN-сервера, работающего на UniFi
08.06.2018
· XDriver · Комментариев нет
Метки: cisco, IPsec, L2TP, UNIFI, USG, VPN · Рубрики: Cisco
Cisco PPTP client to UniFi
Возникла задача — нужно получить IP-адрес одной страны в сети другой страны для различных нужд.
Это может пригодиться для предоставления различных сервисов, таких как, например, просмотр российских ТВ-каналов в стране, где такое вещание не ведется, или же есть какие-либо другие ограничения по geo-ip.
И так, в компании работает оборудование UniFi. На удаленном объекте имеется ненужная Cisco 1921, которую решено задействовать для целей подключения PPTP VPN-туннеля к UniFi USG.
no ip gratuitous-arps
vpdn enable
vpdn-group 1
request-dialin
protocol pptp
pool-member 1
initiate-to ip 185.49.109.30
interface GigabitEthernet0/0
description -= WAN =-
ip address XXX.XXX.XXX.10 255.255.255.0
interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface Dialer1
description -= PPTP-VPN =-
mtu 1450
ip address negotiated
no ip redirects
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1360
dialer pool 1
dialer idle-timeout 0
dialer string 1
dialer vpdn
dialer-group 1
ppp encrypt mppe auto
ppp chap hostname USERNAME
ppp chap password 0 USERPASS
no cdp enable
ip nat inside source list NAT_ACL interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route YYY.YYY.YYY.30 255.255.255.255 XXX.XXX.XXX.1
ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
XXX.XXX.XXX.10 — наш WAN адрес.
YYY.YYY.YYY.30 — адрес удаленного PPTP-VPN-сервера, работающего на UniFi
В конечном итоге все хосты во внутренней сети имеют внешние адреса из другой сети (например, из другой страны).
Для тех, кому очень надо, сделал такое же подключение, но через L2TP/IPsec
08.06.2018
· XDriver · Комментариев нет
Метки: cisco, PPTP, UNIFI, USG, VPN · Рубрики: Cisco
Настройка L2TP-Over-IPsec на Cisco IOS
Необходимо настроить L2TP/IPsec сервер на Cisco IOS для удаленного подключения сотрудников.
aaa new-model
aaa authentication login default local
aaa authorization network default local
vpdn enable
vpdn-group L2TP
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
username testuser privilege 0 password testpass
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key SECRET_KEY address 0.0.0.0 no-xauth
crypto isakmp keepalive 3600
crypto ipsec transform-set L2TP_SET esp-3des esp-sha-hmac
mode transport
crypto dynamic-map L2TP_MAP 10
set nat demux
set transform-set L2TP_SET
crypto map L2TP_CRYPTO_MAP 10 ipsec-isakmp dynamic L2TP_MAP
interface Loopback1
ip address 172.31.1.1 255.255.255.0
interface GigabitEthernet0/0
description -= WAN =-
ip address XXX.XXX.XXX.2 255.255.255.252
ip nat outside
crypto map L2TP_CRYPTO_MAP
interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface Virtual-Template1
ip unnumbered Loopback1
ip nat inside
peer ip address forced
peer default ip address pool L2TP_POOL
ppp encrypt mppe 40
ppp authentication ms-chap-v2
ppp ipcp dns 192.168.0.1
ip local pool L2TP_POOL 172.31.1.10 172.31.1.250
ip nat inside source list INET_ACL interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1
ip access-list extended INET_ACL
permit ip 192.168.0.0 0.0.0.255 any
permit ip 172.31.1.0 0.0.0.255 any
28.09.2017
· XDriver · Комментариев нет
Метки: cisco, IPsec, L2TP, VPN · Рубрики: Cisco
Настройка IPSec+GRE+OSPF на Cisco IOS через Crypto-Map
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 123456 address 10.10.20.1
crypto ipsec transform-set TUNNEL_SET esp-3des esp-md5-hmac
mode tunnel
crypto map TUNNEL 10 ipsec-isakmp
set peer 10.10.20.1
set transform-set TUNNEL_SET
match address 100
interface Tunnel0
description -= REMOTE_SIDE =-
ip address 10.0.0.1 255.255.255.252
ip ospf 1 area 0
tunnel source Fa0/1
tunnel destination 10.10.20.1
interface Fa0/0
description -= LAN =-
ip address 192.168.1.1 255.255.255.0
ip ospf 1 area 0
interface Fa0/1
description -= WAN =-
ip address 10.10.10.1 255.255.255.0
crypto map TUNNEL
router ospf 1
log-adjacency-changes
ip route 0.0.0.0 0.0.0.0 10.10.10.2 name ISP
access-list 100 permit gre host 10.10.10.1 host 10.10.20.1
12.09.2017
· XDriver · Комментариев нет
Метки: cisco · Рубрики: Cisco
Простая настройка IPSec+GRE+OSPF на Cisco IOS
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key 123456 address 10.10.20.1
!
crypto ipsec transform-set IPSEC esp-aes 192 esp-sha-hmac
!
crypto ipsec profile IPSEC
set transform-set IPSEC
!
interface Tunnel0
ip address 10.0.0.1 255.255.255.252
ip ospf 1 area 0
tunnel source FastEthernet0/1
tunnel destination 10.10.20.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
!
interface FastEthernet0/0
description -= LAN =-
ip address 192.168.1.1 255.255.255.0
ip ospf 1 area 0
!
interface FastEthernet0/1
description -= WAN =-
ip address 10.10.10.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
!
ip route 0.0.0.0 0.0.0.0 10.10.10.2 name ISP
11.09.2017
· XDriver · Комментариев нет
Метки: cisco · Рубрики: Cisco
Не стартует Asterisk: Unable to query table description!
Если Вы не уследили за местом на жестком диске сервера Asterisk, служба asterisk может вести себя неадекватно из-за невозможности создавать временный файл.
Но даже после того, как место очищено, служба asterisk все равно не стартует, а в консоли постоянно выдается сообщение:
Asterisk ended with exit status 1. Asterisk died with exit status 1. Asterisk died with code 1
Но из-за того, что Asterisk не стартует, важно понять, какой процесс его блокирует.
Первым делом смотрим в лог Астериска:
tail -f /var/log/asterisk/full
В самом последнем этапе запуска Астериска видна такая строка:
cdr_mysql.c: Unable to query table description!! Logging disabled.
Эта строка говорит о том, что модулю cdr_mysql.so не получилось запуститься. Чаще всего это может говорить о том, что база данных и таблицы MySQL повреждены.
Чтобы восстановить базу данных MySQL, выполняем следующие команды:
service asterisk stop
mysql -u root -p
>repair table asteriskcdrdb.cdr;
service mysqld start
service asterisk start
asterisk -rvvv
В консоли Астериска проверяем работу cdr:
cdr show status
Все готово! Следите за местом на сервере и не допускайте переполнения!
18.05.2017
· XDriver · Комментариев нет
Метки: asterisk · Рубрики: Linux
Для отправки комментария необходимо войти на сайт.