Je vais commencer par mettre mon THECUS en ligne en mode FTP on verra ensuite pour le SYNOLOGY, j'ai des données perso....
Donc le principe est de mettre en DMZ sur le ASA5505, le NAS THECUS pour qu'il soit accessible depuis "internet".
Cela me pose un petit problème, en effet j'ai une licence de "base" sur mon ASA5505 et donc une des conséquence est que le trafic ne sera plus possible directement entre mon LAN perso et le THECUS . Il faudra passer par "internet" !
==> TODO en premier :
- Serveur FTP
==> TODO ensuite :
NAS THECUS
- Serveur WWW
- Serveur UPnP
- Serveur MAIL
- Serveur DNS
- Serveur TFTP
- Serveur ....
jeudi 19 novembre 2009
jeudi 12 novembre 2009
Differentes manière "show commands" pour obtenir des infos sur le matériel Cisco
show version
- utilisée pour determiner quelle version de Cisco IOS a device is running
- mais aussi pour :
show module
- donne une liste de modules et les slots ou ils sont connecté
- retourne le :
show inventory
- récupère linformation Unique Device Identifier (UDI)
- UDI consists of the following elements:
The VID is the version of the product. Whenever a product has been revised, the VID will be incremented. The VID is incremented according to a rigorous process derived from Telcordia GR-209-CORE, an industry guideline that governs product change notices.
The SN is the vendor-unique serialization of the product. Each manufactured product will carry a unique serial number assigned at the factory, which cannot be changed in the field. This is the means by which to identify an individual, specific instance of a product.
show diagbus
In order to find the serial number of port adapters that plug into the Flex WAN module, issue the show diagbus command from the MSFC command-line interface (CLI).
show idprom
In order to determine the serial number for the chassis and other components. This command has multiple parameter to issue in case that you want to restrict the information that is returned to you show idprom [parameter]. Some parameter option would be: backplane, fan-tray, module, interface and others which you can discover with well known help command show idprom ?
- utilisée pour determiner quelle version de Cisco IOS a device is running
- mais aussi pour :
- ROM bootstrap
- uptime
- RAM quantity
- FLASH capacity
- Processor board ID (identique au serial number imprimé sur le sticker)
show module
- donne une liste de modules et les slots ou ils sont connecté
- retourne le :
- status
- model
- hardware address
- software / hardware
- serial number of each module / sub-module
show inventory
- récupère linformation Unique Device Identifier (UDI)
- UDI consists of the following elements:
- Product identifier (PID)
- Version identifier (VID)
- Serial number (SN).
The VID is the version of the product. Whenever a product has been revised, the VID will be incremented. The VID is incremented according to a rigorous process derived from Telcordia GR-209-CORE, an industry guideline that governs product change notices.
The SN is the vendor-unique serialization of the product. Each manufactured product will carry a unique serial number assigned at the factory, which cannot be changed in the field. This is the means by which to identify an individual, specific instance of a product.
show diagbus
In order to find the serial number of port adapters that plug into the Flex WAN module, issue the show diagbus command from the MSFC command-line interface (CLI).
show idprom
In order to determine the serial number for the chassis and other components. This command has multiple parameter to issue in case that you want to restrict the information that is returned to you show idprom [parameter]. Some parameter option would be: backplane, fan-tray, module, interface and others which you can discover with well known help command show idprom ?
lundi 9 novembre 2009
CCNP SecureCRT - Map a Cisco sessions switch / traceroute break
Un truc important pour SecureCRT de http://www.vandyke.com/
F12 (CTRL SHIFT 6+x) : sessions switch, send string in the key map : \036x
F11 (CTRL SHIFT 66) : traceroute break sequence, send string in the key map : \0366
samedi 10 octobre 2009
mardi 6 octobre 2009
Cisco - release IOS 15.0(1)
La version 15.0(1) de l'IOS CISCO est sortie à la suite de la dernière 12.4T(24).
Mais ou sont passées les version 13.0 & 14.0 ?
Le chiffre 13 n'est pas bien vu aux states (pas de niveau 13 dans les tours de bureau)
Le chiffre 14 n'est pas bien vu en Asie, ce marché devient majeur...
Donc on passe à 15 (ce chiffre est mal vu en terre Adélie, mais bon à part les manchot et quelques scientifiques cela ne gènera pas grand monde)
Pas de bol mais les 2600XM, 3600, 3700 ne sont pas supportés par cette nouvelle release.
Liens :
http://www.cisco.com/en/US/docs/ios/15_0/release/notes/150MFEAT.html
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps8802/ps5460/product_bulletin_c25-557283_ps5855_Products_Bulletin.html
Source :
http://www.networkworld.com/community/node/45883
Mais ou sont passées les version 13.0 & 14.0 ?
Le chiffre 13 n'est pas bien vu aux states (pas de niveau 13 dans les tours de bureau)
Le chiffre 14 n'est pas bien vu en Asie, ce marché devient majeur...
Donc on passe à 15 (ce chiffre est mal vu en terre Adélie, mais bon à part les manchot et quelques scientifiques cela ne gènera pas grand monde)
Pas de bol mais les 2600XM, 3600, 3700 ne sont pas supportés par cette nouvelle release.
Liens :
http://www.cisco.com/en/US/docs/ios/15_0/release/notes/150MFEAT.html
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps8802/ps5460/product_bulletin_c25-557283_ps5855_Products_Bulletin.html
Source :
http://www.networkworld.com/community/node/45883
jeudi 3 septembre 2009
Le planxot en haut du Canigou
Le bouclier de Brennus à pris l'air des hauts sommets Catalans en s'installant en haut du Canigou pour la fête de la Saint Jean.
jeudi 27 août 2009
I.5. Configure devices on Home LAN for Internet access
C'est la phase de connection des PC et du NAS sur le LAN 192.168.1.0/24.
L'ASA5505 est configuré avec un daemon DHCP pour fournir des adresses IP sur la plage 192.168.1.4 à 192.168.1.20.
==> TODO : DHCP setroute + DNS + NAT : Fait
De la sorte :
- je préserve l'adresse IP 192.168.1.2 pour un usage futur
- je permet à mon NAS d'avoir une @IP fixe : 192.168.1.3
- je permet à mon 2610 "access server" d'avoir une IP fixe : 192.168.1.21
- j'ai une plage de 16 @IP dynamique à fournir aux différents PC de la maison.
La gateway du home LAN est l'adresse de ASA sur le VLAN1 : 192.168.1.1
L'ASA5505 est configuré avec un daemon DHCP pour fournir des adresses IP sur la plage 192.168.1.4 à 192.168.1.20.
De la sorte :
- je préserve l'adresse IP 192.168.1.2 pour un usage futur
- je permet à mon NAS d'avoir une @IP fixe : 192.168.1.3
- je permet à mon 2610 "access server" d'avoir une IP fixe : 192.168.1.21
- j'ai une plage de 16 @IP dynamique à fournir aux différents PC de la maison.
La gateway du home LAN est l'adresse de ASA sur le VLAN1 : 192.168.1.1
I.3. Configure the Access Server Router for serial console monitoring
Dans le monde Cisco, il est préférable de configurer les routeurs, swiths et autres en mode de commande : CLI
Sauf bien sur pour la partie VPN des ASA/PIX ou il est préférable d'utiliser l'ASDM et pour les "devices" des séries 500 (ex mon switch CE500-24LC" qui n'ont pas de CLI et ne se paramètrent qu'en HTTP.
Pour initier une session telnet et entrer les commandes via le CLI, il faut se connecter au port console avec un câble série dit "rollover".
Comme il est fastidieux de changer l'exprémité du RJ45 série à chaque fois que l'on change de "device" sur le Lab, j'ai acheté un Cisco 2610 pas cher (30€) et une carte NM-32A beaucoup plus onéreuse (200 €) avec 4 pieuvres de 8 câbles console RJ45 (15 € l'unité) pour piloter à partir d'une seule session telnet l'ensemble des 32 "devices" Cisco disposant d'un port console.
Le principe est simple :
- on configure l'interface E0/0 du 2610 avec une adresse IP fixe sur le Home LAN (ici : 192.168.1.21)
- on configure une adresse IP de Loopback (ici : 171.21.1.1)
- Sur cette adresse de loopback on assigne des host sur les ports line de la NM-32A
host r871_1 172.21.1.1 4033
host r871_2 172.21.1.1 4034
../..
host ap1220 172.21.1.1 4064
- ainsi quand on veux se connecter en telnet sur le cisco 871 N°2, sur le prompt du 2610 je tape : r871_2
- sur le 2610 j'ai mappé la touche F12 de mon clavier sur la fameuse commande de sortie de session : Control-Shift-6 plus X en "\036x"
- de la sorte je peux naviguer entre les différents "device" à partir d'un seul PC en en ouvrant une seule fenetre telnet vers mon 2610.
- j'ai fait un alias "ss" pour lister les session actives sur le 2610, de la sorte pour rappeler une connexion vers un "device" ou je me suis déjà connecté je n'ai qu'a taper le N° de la session.
Sauf bien sur pour la partie VPN des ASA/PIX ou il est préférable d'utiliser l'ASDM et pour les "devices" des séries 500 (ex mon switch CE500-24LC" qui n'ont pas de CLI et ne se paramètrent qu'en HTTP.
Pour initier une session telnet et entrer les commandes via le CLI, il faut se connecter au port console avec un câble série dit "rollover".
Comme il est fastidieux de changer l'exprémité du RJ45 série à chaque fois que l'on change de "device" sur le Lab, j'ai acheté un Cisco 2610 pas cher (30€) et une carte NM-32A beaucoup plus onéreuse (200 €) avec 4 pieuvres de 8 câbles console RJ45 (15 € l'unité) pour piloter à partir d'une seule session telnet l'ensemble des 32 "devices" Cisco disposant d'un port console.
Le principe est simple :
- on configure l'interface E0/0 du 2610 avec une adresse IP fixe sur le Home LAN (ici : 192.168.1.21)
- on configure une adresse IP de Loopback (ici : 171.21.1.1)
- Sur cette adresse de loopback on assigne des host sur les ports line de la NM-32A
host r871_1 172.21.1.1 4033
host r871_2 172.21.1.1 4034
../..
host ap1220 172.21.1.1 4064
- ainsi quand on veux se connecter en telnet sur le cisco 871 N°2, sur le prompt du 2610 je tape : r871_2
- sur le 2610 j'ai mappé la touche F12 de mon clavier sur la fameuse commande de sortie de session : Control-Shift-6 plus X en "\036x"
- de la sorte je peux naviguer entre les différents "device" à partir d'un seul PC en en ouvrant une seule fenetre telnet vers mon 2610.
- j'ai fait un alias "ss" pour lister les session actives sur le 2610, de la sorte pour rappeler une connexion vers un "device" ou je me suis déjà connecté je n'ai qu'a taper le N° de la session.
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
Le Cisco ASA5505 (http://www.cisco.com/en/US/partner/docs/security/asa/asa82/configuration/guide/config.html) que je possède est un "Adaptative Security Appliance", un firewall en gros.
C'est le successeur de la série des firewall P I X de Cisco.
Le 5505, destiné au marché SOHO et aux travailleur isolés, est le plus petit de la série des ASA qui se termine avec le 5580 destiné aux Grandes entreprises.
On peux en trouver aux environs de 300€ en version "Base license" ou 700€ env ersion "Security plus license" sur Ebay.
L'ASA 5505 à deux mode de fonctionnement :
- Transparent : il agit comme un firewall seulement
- Routed : il agit aussi comme un "routeur"
J'ai choisi de le configurer en mode "routed", mais je ne sais pas argumenter sur ce choix !
Bon on le configure cet ASA
C'est le successeur de la série des firewall P I X de Cisco.
Le 5505, destiné au marché SOHO et aux travailleur isolés, est le plus petit de la série des ASA qui se termine avec le 5580 destiné aux Grandes entreprises.
On peux en trouver aux environs de 300€ en version "Base license" ou 700€ env ersion "Security plus license" sur Ebay.
L'ASA 5505 à deux mode de fonctionnement :
- Transparent : il agit comme un firewall seulement
- Routed : il agit aussi comme un "routeur"
J'ai choisi de le configurer en mode "routed", mais je ne sais pas argumenter sur ce choix !
Bon on le configure cet ASA
mercredi 26 août 2009
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
Pourquoi installer un routeur d'accès dans ce Home Lab ?
Ce qui milite pour son abandon :
- Le routeur utilisé est un routeur SOHO (Netgear FVS114)
- Le routeur ne gère pas l'IPv6
- Le routeur est limité en bande passante pour le trafic VPN
- L'ASA peut très bien avoir un lien sur son outside directement sur internet
Pourquoi j'ai abandonné cette topologie :
- Parce que... je maitrise un peu le ASA5505 et je sais faire du NAT/PAT !
- J'ai donc mis directement l'outside du ASA5505 sur un port de ma FREEBOX (mode bridge)
- He hop ca marche
==> TODO : passer tout ce petit monde en IPv6 quand j'en saurais un peu plus....
Pourquoi j'utilise cette topologie :
- parceque...
- Cela fait 10 ans que j'ai des routeurs Netgear pour me connecter à Internet
- Le FVS114 est configuré pour tout bloquer sauf les services dont j'ai besoin
- La configuration des règles du firewall est très simple
Alors cette config :
I.2.1. Remettre le FVS en configuration usine
I.2.2. Connecter le PC sur un des 4 port RJ45 coté LAN
I.2.3. Se connecter avec son browser sur : http://www.routerlogin.net
- Login : admin
- MdP : password
I.2.4. Paraméter le chapitre "SETUP - Basic Settings" avec :
- Internet IP Address : Get Dynamically From ISP
- Domain Name Server (DNS) Address : Get Dynamically From ISP
I.2.4. Paraméter le chapitre "Maintenance - Set Password" avec :
- le nouveau mot de passe
Et c'est fini.
Ensuite on peux :
- bricoler le PAT si l'on veux des services spécifiques en inbound...
- Changer le LAN et le DHCP pour avoir un subnet en 10.0.0.0/24, histoire de se réserver le 192.168.1.0/24 pour le Home LAN
- bricoler l'association @MAC / @IP si on veux bloquer la config LAN à une seule machine.
Ce qui milite pour son abandon :
- Le routeur utilisé est un routeur SOHO (Netgear FVS114)
- Le routeur ne gère pas l'IPv6
- Le routeur est limité en bande passante pour le trafic VPN
- L'ASA peut très bien avoir un lien sur son outside directement sur internet
Pourquoi j'ai abandonné cette topologie :
- Parce que... je maitrise un peu le ASA5505 et je sais faire du NAT/PAT !
- J'ai donc mis directement l'outside du ASA5505 sur un port de ma FREEBOX (mode bridge)
- He hop ca marche
==> TODO : passer tout ce petit monde en IPv6 quand j'en saurais un peu plus....
I.1. Synoptique de réseaux / Network design
Updated en Version 2 (13/11/09)
Synoptique du réseau actuel
** ** ** **
Synoptique du réseau cible
I.0 - Design et Configuration de mon Home LAN IPv4
Une des chose facile à réaliser est de configurer un petit réseau LAN IPv4.
Mon Home LAN est ideal pour commencer.
Liens externes WAN (internet) :
C'est le plus simple, un Home WAN a normalement une seule adresse IP assignée dynamiquement ou de manière fixe par l'ISP et connectée par une modem câble ou xDSL.
Dans mon cas l'adresse IP est fixe : 81.XXX.XXX.13/24 (Gateway : 81.XXX.XXX.254)
Liens internes LAN (Home LAN et LAB LAN's) :
Cela ce complique un peu :
- un réseau Home LAN pour les PC de la famille et le NAS.
- un réseau pour les LAB CISCO
Les évolutions futures sont :
- Un réseau Home LAN pour les PC
- Un réseau DMZ pour installer le NAS en serveur FTP / WWW / Email
- Plusieurs réseaux "LAB CISCO"
- Migration de tout ce petit monde en IPv6
Pour les équipements utilisés le plus simple est de consulter le synoptique.
Les étapes pour monter ces réseaux sont :
I.1. Synoptique de réseaux / Network Design
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
I.3. Configure the Access Server Router for serial console monitoring
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
I.5. Configure devices on Home LAN for Internet access
I.6. Configure ASA for Internet access on NAS device
I.7. Configure the Home/Lab Router and Switch for VLANs
I.8. Configure network for FTP / TFTP
I.9. Configure network monitoring
C'est pas que je veux me la péter en parlant anglais dans cette liste, mais je trouve que l'anglais est beaucoup plus simple dans le cas présent pour décrire les étapes....
Mon Home LAN est ideal pour commencer.
Liens externes WAN (internet) :
C'est le plus simple, un Home WAN a normalement une seule adresse IP assignée dynamiquement ou de manière fixe par l'ISP et connectée par une modem câble ou xDSL.
Dans mon cas l'adresse IP est fixe : 81.XXX.XXX.13/24 (Gateway : 81.XXX.XXX.254)
Liens internes LAN (Home LAN et LAB LAN's) :
Cela ce complique un peu :
- un réseau Home LAN pour les PC de la famille et le NAS.
- un réseau pour les LAB CISCO
Les évolutions futures sont :
- Un réseau Home LAN pour les PC
- Un réseau DMZ pour installer le NAS en serveur FTP / WWW / Email
- Plusieurs réseaux "LAB CISCO"
- Migration de tout ce petit monde en IPv6
Pour les équipements utilisés le plus simple est de consulter le synoptique.
Les étapes pour monter ces réseaux sont :
I.1. Synoptique de réseaux / Network Design
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
I.3. Configure the Access Server Router for serial console monitoring
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
I.5. Configure devices on Home LAN for Internet access
I.6. Configure ASA for Internet access on NAS device
I.7. Configure the Home/Lab Router and Switch for VLANs
I.8. Configure network for FTP / TFTP
I.9. Configure network monitoring
C'est pas que je veux me la péter en parlant anglais dans cette liste, mais je trouve que l'anglais est beaucoup plus simple dans le cas présent pour décrire les étapes....
vendredi 14 août 2009
Inscription à :
Articles (Atom)