jeudi 27 août 2009
I.5. Configure devices on Home LAN for Internet access
C'est la phase de connection des PC et du NAS sur le LAN 192.168.1.0/24.
L'ASA5505 est configuré avec un daemon DHCP pour fournir des adresses IP sur la plage 192.168.1.4 à 192.168.1.20.
==> TODO : DHCP setroute + DNS + NAT : Fait
De la sorte :
- je préserve l'adresse IP 192.168.1.2 pour un usage futur
- je permet à mon NAS d'avoir une @IP fixe : 192.168.1.3
- je permet à mon 2610 "access server" d'avoir une IP fixe : 192.168.1.21
- j'ai une plage de 16 @IP dynamique à fournir aux différents PC de la maison.
La gateway du home LAN est l'adresse de ASA sur le VLAN1 : 192.168.1.1
L'ASA5505 est configuré avec un daemon DHCP pour fournir des adresses IP sur la plage 192.168.1.4 à 192.168.1.20.
De la sorte :
- je préserve l'adresse IP 192.168.1.2 pour un usage futur
- je permet à mon NAS d'avoir une @IP fixe : 192.168.1.3
- je permet à mon 2610 "access server" d'avoir une IP fixe : 192.168.1.21
- j'ai une plage de 16 @IP dynamique à fournir aux différents PC de la maison.
La gateway du home LAN est l'adresse de ASA sur le VLAN1 : 192.168.1.1
I.3. Configure the Access Server Router for serial console monitoring
Dans le monde Cisco, il est préférable de configurer les routeurs, swiths et autres en mode de commande : CLI
Sauf bien sur pour la partie VPN des ASA/PIX ou il est préférable d'utiliser l'ASDM et pour les "devices" des séries 500 (ex mon switch CE500-24LC" qui n'ont pas de CLI et ne se paramètrent qu'en HTTP.
Pour initier une session telnet et entrer les commandes via le CLI, il faut se connecter au port console avec un câble série dit "rollover".
Comme il est fastidieux de changer l'exprémité du RJ45 série à chaque fois que l'on change de "device" sur le Lab, j'ai acheté un Cisco 2610 pas cher (30€) et une carte NM-32A beaucoup plus onéreuse (200 €) avec 4 pieuvres de 8 câbles console RJ45 (15 € l'unité) pour piloter à partir d'une seule session telnet l'ensemble des 32 "devices" Cisco disposant d'un port console.
Le principe est simple :
- on configure l'interface E0/0 du 2610 avec une adresse IP fixe sur le Home LAN (ici : 192.168.1.21)
- on configure une adresse IP de Loopback (ici : 171.21.1.1)
- Sur cette adresse de loopback on assigne des host sur les ports line de la NM-32A
host r871_1 172.21.1.1 4033
host r871_2 172.21.1.1 4034
../..
host ap1220 172.21.1.1 4064
- ainsi quand on veux se connecter en telnet sur le cisco 871 N°2, sur le prompt du 2610 je tape : r871_2
- sur le 2610 j'ai mappé la touche F12 de mon clavier sur la fameuse commande de sortie de session : Control-Shift-6 plus X en "\036x"
- de la sorte je peux naviguer entre les différents "device" à partir d'un seul PC en en ouvrant une seule fenetre telnet vers mon 2610.
- j'ai fait un alias "ss" pour lister les session actives sur le 2610, de la sorte pour rappeler une connexion vers un "device" ou je me suis déjà connecté je n'ai qu'a taper le N° de la session.
Sauf bien sur pour la partie VPN des ASA/PIX ou il est préférable d'utiliser l'ASDM et pour les "devices" des séries 500 (ex mon switch CE500-24LC" qui n'ont pas de CLI et ne se paramètrent qu'en HTTP.
Pour initier une session telnet et entrer les commandes via le CLI, il faut se connecter au port console avec un câble série dit "rollover".
Comme il est fastidieux de changer l'exprémité du RJ45 série à chaque fois que l'on change de "device" sur le Lab, j'ai acheté un Cisco 2610 pas cher (30€) et une carte NM-32A beaucoup plus onéreuse (200 €) avec 4 pieuvres de 8 câbles console RJ45 (15 € l'unité) pour piloter à partir d'une seule session telnet l'ensemble des 32 "devices" Cisco disposant d'un port console.
Le principe est simple :
- on configure l'interface E0/0 du 2610 avec une adresse IP fixe sur le Home LAN (ici : 192.168.1.21)
- on configure une adresse IP de Loopback (ici : 171.21.1.1)
- Sur cette adresse de loopback on assigne des host sur les ports line de la NM-32A
host r871_1 172.21.1.1 4033
host r871_2 172.21.1.1 4034
../..
host ap1220 172.21.1.1 4064
- ainsi quand on veux se connecter en telnet sur le cisco 871 N°2, sur le prompt du 2610 je tape : r871_2
- sur le 2610 j'ai mappé la touche F12 de mon clavier sur la fameuse commande de sortie de session : Control-Shift-6 plus X en "\036x"
- de la sorte je peux naviguer entre les différents "device" à partir d'un seul PC en en ouvrant une seule fenetre telnet vers mon 2610.
- j'ai fait un alias "ss" pour lister les session actives sur le 2610, de la sorte pour rappeler une connexion vers un "device" ou je me suis déjà connecté je n'ai qu'a taper le N° de la session.
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
Le Cisco ASA5505 (http://www.cisco.com/en/US/partner/docs/security/asa/asa82/configuration/guide/config.html) que je possède est un "Adaptative Security Appliance", un firewall en gros.
C'est le successeur de la série des firewall P I X de Cisco.
Le 5505, destiné au marché SOHO et aux travailleur isolés, est le plus petit de la série des ASA qui se termine avec le 5580 destiné aux Grandes entreprises.
On peux en trouver aux environs de 300€ en version "Base license" ou 700€ env ersion "Security plus license" sur Ebay.
L'ASA 5505 à deux mode de fonctionnement :
- Transparent : il agit comme un firewall seulement
- Routed : il agit aussi comme un "routeur"
J'ai choisi de le configurer en mode "routed", mais je ne sais pas argumenter sur ce choix !
Bon on le configure cet ASA
C'est le successeur de la série des firewall P I X de Cisco.
Le 5505, destiné au marché SOHO et aux travailleur isolés, est le plus petit de la série des ASA qui se termine avec le 5580 destiné aux Grandes entreprises.
On peux en trouver aux environs de 300€ en version "Base license" ou 700€ env ersion "Security plus license" sur Ebay.
L'ASA 5505 à deux mode de fonctionnement :
- Transparent : il agit comme un firewall seulement
- Routed : il agit aussi comme un "routeur"
J'ai choisi de le configurer en mode "routed", mais je ne sais pas argumenter sur ce choix !
Bon on le configure cet ASA
mercredi 26 août 2009
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
Pourquoi installer un routeur d'accès dans ce Home Lab ?
Ce qui milite pour son abandon :
- Le routeur utilisé est un routeur SOHO (Netgear FVS114)
- Le routeur ne gère pas l'IPv6
- Le routeur est limité en bande passante pour le trafic VPN
- L'ASA peut très bien avoir un lien sur son outside directement sur internet
Pourquoi j'ai abandonné cette topologie :
- Parce que... je maitrise un peu le ASA5505 et je sais faire du NAT/PAT !
- J'ai donc mis directement l'outside du ASA5505 sur un port de ma FREEBOX (mode bridge)
- He hop ca marche
==> TODO : passer tout ce petit monde en IPv6 quand j'en saurais un peu plus....
Pourquoi j'utilise cette topologie :
- parceque...
- Cela fait 10 ans que j'ai des routeurs Netgear pour me connecter à Internet
- Le FVS114 est configuré pour tout bloquer sauf les services dont j'ai besoin
- La configuration des règles du firewall est très simple
Alors cette config :
I.2.1. Remettre le FVS en configuration usine
I.2.2. Connecter le PC sur un des 4 port RJ45 coté LAN
I.2.3. Se connecter avec son browser sur : http://www.routerlogin.net
- Login : admin
- MdP : password
I.2.4. Paraméter le chapitre "SETUP - Basic Settings" avec :
- Internet IP Address : Get Dynamically From ISP
- Domain Name Server (DNS) Address : Get Dynamically From ISP
I.2.4. Paraméter le chapitre "Maintenance - Set Password" avec :
- le nouveau mot de passe
Et c'est fini.
Ensuite on peux :
- bricoler le PAT si l'on veux des services spécifiques en inbound...
- Changer le LAN et le DHCP pour avoir un subnet en 10.0.0.0/24, histoire de se réserver le 192.168.1.0/24 pour le Home LAN
- bricoler l'association @MAC / @IP si on veux bloquer la config LAN à une seule machine.
Ce qui milite pour son abandon :
- Le routeur utilisé est un routeur SOHO (Netgear FVS114)
- Le routeur ne gère pas l'IPv6
- Le routeur est limité en bande passante pour le trafic VPN
- L'ASA peut très bien avoir un lien sur son outside directement sur internet
Pourquoi j'ai abandonné cette topologie :
- Parce que... je maitrise un peu le ASA5505 et je sais faire du NAT/PAT !
- J'ai donc mis directement l'outside du ASA5505 sur un port de ma FREEBOX (mode bridge)
- He hop ca marche
==> TODO : passer tout ce petit monde en IPv6 quand j'en saurais un peu plus....
I.1. Synoptique de réseaux / Network design
Updated en Version 2 (13/11/09)
Synoptique du réseau actuel
** ** ** **
Synoptique du réseau cible
I.0 - Design et Configuration de mon Home LAN IPv4
Une des chose facile à réaliser est de configurer un petit réseau LAN IPv4.
Mon Home LAN est ideal pour commencer.
Liens externes WAN (internet) :
C'est le plus simple, un Home WAN a normalement une seule adresse IP assignée dynamiquement ou de manière fixe par l'ISP et connectée par une modem câble ou xDSL.
Dans mon cas l'adresse IP est fixe : 81.XXX.XXX.13/24 (Gateway : 81.XXX.XXX.254)
Liens internes LAN (Home LAN et LAB LAN's) :
Cela ce complique un peu :
- un réseau Home LAN pour les PC de la famille et le NAS.
- un réseau pour les LAB CISCO
Les évolutions futures sont :
- Un réseau Home LAN pour les PC
- Un réseau DMZ pour installer le NAS en serveur FTP / WWW / Email
- Plusieurs réseaux "LAB CISCO"
- Migration de tout ce petit monde en IPv6
Pour les équipements utilisés le plus simple est de consulter le synoptique.
Les étapes pour monter ces réseaux sont :
I.1. Synoptique de réseaux / Network Design
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
I.3. Configure the Access Server Router for serial console monitoring
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
I.5. Configure devices on Home LAN for Internet access
I.6. Configure ASA for Internet access on NAS device
I.7. Configure the Home/Lab Router and Switch for VLANs
I.8. Configure network for FTP / TFTP
I.9. Configure network monitoring
C'est pas que je veux me la péter en parlant anglais dans cette liste, mais je trouve que l'anglais est beaucoup plus simple dans le cas présent pour décrire les étapes....
Mon Home LAN est ideal pour commencer.
Liens externes WAN (internet) :
C'est le plus simple, un Home WAN a normalement une seule adresse IP assignée dynamiquement ou de manière fixe par l'ISP et connectée par une modem câble ou xDSL.
Dans mon cas l'adresse IP est fixe : 81.XXX.XXX.13/24 (Gateway : 81.XXX.XXX.254)
Liens internes LAN (Home LAN et LAB LAN's) :
Cela ce complique un peu :
- un réseau Home LAN pour les PC de la famille et le NAS.
- un réseau pour les LAB CISCO
Les évolutions futures sont :
- Un réseau Home LAN pour les PC
- Un réseau DMZ pour installer le NAS en serveur FTP / WWW / Email
- Plusieurs réseaux "LAB CISCO"
- Migration de tout ce petit monde en IPv6
Pour les équipements utilisés le plus simple est de consulter le synoptique.
Les étapes pour monter ces réseaux sont :
I.1. Synoptique de réseaux / Network Design
I.2. Configure the Border Router for basic operation / ADSL / Internet connectivity
I.3. Configure the Access Server Router for serial console monitoring
I.4. Configure the ASA Firewall for basic operation / Internet connectivity
I.5. Configure devices on Home LAN for Internet access
I.6. Configure ASA for Internet access on NAS device
I.7. Configure the Home/Lab Router and Switch for VLANs
I.8. Configure network for FTP / TFTP
I.9. Configure network monitoring
C'est pas que je veux me la péter en parlant anglais dans cette liste, mais je trouve que l'anglais est beaucoup plus simple dans le cas présent pour décrire les étapes....
vendredi 14 août 2009
Inscription à :
Articles (Atom)