FreePBX и ip-phone Cisco 9951
Коллеги!
Вопрос древний, поэтому дельных статей не смог нагуглить, много ссылок протухло.

Итак, с аппаратом 9951 что-то случилось, из серии "сбились настройки", и он перестал работать, точнее -- звонить на него звонят, а на выход -- отбой. В логах --  Received SIP INVITE with unsupported required extension: required: unsupported:sdp-anat.

Из обрывков того, что нагуглил, предлагались варианты:

1. Попробовать полностью отключить поддержку IPv6.
2. Разрешить на аппарате ssh, взять SEP-файл (конкретно для этой можели не нашёл, но говорят, найти можно), поколдовать с параметрами и залить его через шелл по tftp. Видел статью по этому поводу, там решалась другая задача, но общий принцип понял.
3. Бывший админ сказал, что он как-то "заливал прошивку на tftp, правил конфиг прошивки и телефон автоматом перепрошивался с нужными параметрами", но, во-первых, в архиве с прошивкой никаких конвигов нет, только бинарии во-вторых, я не настолько крут в циско, чтобы понимать, что и как там править.

Может, у кого-нибудь сохранились живые ссылки или сами статьи, как победить этот аппарат?

X-posted

(Comment on this)

2811 статический нат и DNS rewrite
Дано: две 2811 с прошивкой 12.4(25b), настроенный HSRP, за роутерами разношерстная сеть. Настроена пара site-to-site VPN, настроен static NAT пары хостов наружу с роутмапом.

Проблема: при запросе DNS-записей из-за циски на сервер снаружи (8.8.8.8) ответ приходит локальный. Разобрался, что это работает включенный по умолчанию DNS doctoring, рассчитанный на то, что клиенты внутри сети и клиенты вне сети для доступа к наченому ресурсу будут использовать один и тот же DNS-сервер, и IPv4-адрес из соответствующей зоны. В принципе, идея неплохая, но мы поймали, что эта же циска затеяла вмешиваться в DNS zone transfer с основного DNS-сервера, находящегося в публичном сегменте, на наченый вторичный сервер за циской. Симптом - некоторые записи (точнее, соответствующие статическому NAT на этой циске) на вторичном сервере прописаны локальными адресами (10.х.х.х), вместо публичных адресов. Проблема в том, что вторичный сервер - публичный, то есть ни при каких условиях не должен отдавать ответ 10.х.х.х.

( Read more...Collapse )

(5 Comments |Comment on this)

IOS-XE и Netflow timestamp
коллеги а что в IOS-XE выпилили возможность генерировать нетфлоу с абсолютными таймстампами ?
( Read more...Collapse )

(Comment on this)

Cisco VPN Client & Windows 10 AU
Коллеги, а удавалось ли кому-нить заставить работать Cisco VPN Client (или что-то совместимое) под Windows 10 Anniversary Update?
До прихода обновления удавалось запустить через установку делловского клиента, и издевательства над реестром, а сейчас вообще не запускается даже инсталятор

(2 Comments |Comment on this)

ASA 8.4.2, NAT
Дорый день. коллеги!

Имею следующую ситуцаию (моделирую на GNS3):
Есть ASA 8.4.2 на которой подняты 2 интерфейса

interface gigabitethernet1
nameif nonat
securitylevel 0
ip address 192.168.0.1 255.255.255.0

interface gigabitethernet3
nameif outside
securitylevel 0
ip address 192.168.1.1 255.255.255.0

есть соседний роутер, который подключен к ge3 и имеет адрес 192.168.1.2/24. На нем настроен статический маршрут до сети 192.168.0.0/24 через 192.168.1.1. С роутера могу пинговать 192.168.1.1, но не могу 192.168.0.1.

Поискал в интернете, все указывают что надо Nat корректно настроить.

Подскажите, как настроить, чтобы с роуетра был виден адрес 192.168.0.1?

(3 Comments |Comment on this)

[SOLVED] 7301 IOS regression
( Read more...Collapse )

Проблема полностью снята переходом на c7301-adventerprisek9-mz.152-4.S5.bin

(Comment on this)

Cisco не понимает static routing при выключенном ip routing?
Добрый День!
Столкнулся сегодня с проблемой:
- Cisco IE3010 с несколькими IP интерфейсами на разных VLAN
- ip routing выключен (устройство работает как свитч)
- один из IP интерфейсов используется для связи с NTP сервером, от которого синхрится сама Cisco
- другие IP интерфейсы используются для раздачи синхры внутри сегментов
- есть статические маршруты для удалённых IP-сегментов, находящихся за другими маршрутизаторами
Маршрутизация между сегментами на самой Cisco выключена специально, этого надо избежать.
Но статика не работает, пока не включишь "ip routing". Без включения маршрутизации работает только default gateway - но этого не хватает, так как удалённых сегментов - несколько.

Можно, конечно, включить маршрутизацию и на все интерфейсы навесить access-list и route-map. Но это какие-то лишние сущности в данной ситуации. Я был 100% уверен, что маршрутизация в даном случае должна работать аналогично маршрутизации на обычных рабочих станциях, где несколько интерфейсов отлично уживаются с несколькими статическими маршрутами.

Что скажете? Есть какой-то простой способ решить данную проблему?

(14 Comments |Comment on this)

Cisco 2951 PPTP Server + PPTP Client
Коллеги приветсвтую,

имеется проблема.
В качестве сервера PPTP Cisco 2951 (C2951-UNIVERSALK9-M, Version 15.2(2)T)
Настройки следующие, выкладываю всё что касаемо PPTP
!
ip dhcp pool pptp-users
 network 10.10.10.0 255.255.255.0
 default-router 10.10.10.1
 dns-server 192.168.0.2
 option 249 hex 10ac.100a.0a0a.0110.c0a8.0a0a.0a01
 lease 0 1
!
!
vpdn enable
!
vpdn-group STO
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.0
!

!
interface Virtual-Template1
 ip unnumbered Loopback0
 peer default ip address dhcp-pool pptp-users
 ppp encrypt mppe auto
 ppp authentication ms-chap-v2
!
В целом всё работает, да и конфиг то в целом стандартный. НО!
Цепляемся Windows 7 клиентом или Ubuntu, пытаемся передать на удалённый хост за Cisco файл, и получаем фриз. Т.е сессия всё ещё активна, но доступа куда-либо нет. А самое интересное не это, а то что включение  debug ppp mppe events решает вопрос Карл, сессия стабильна! В логах
Vi4 MPPE: missed 1 key changes, recomputing
Vi4 MPPE: missed 4 key changes, recomputing
Vi4 MPPE: rx key change error - diff = 4094

Убунта пишет когда всё перестаёт работать
pppd[2743]: Protocol-Reject for unsupported protocol 0xa4e8
pppd[2743]: Protocol-Reject for unsupported protocol 0xb038

Может кто сталкивался?

(1 Comment |Comment on this)

2811 и USB boot

В каком случае 2811 со свежим ROMMON может отказаться грузиться с USB, при том, что тот же IOS нормально загружается с CompactFlash?

( Read more...Collapse )

(Comment on this)

ASA и отключение NAT
Коллеги, добрый день.

Ситуация следующая: есть ASA 5520 с прошивкой 8.2, локалка и два ISP
ISP1 - оптика, внешний ip-адрес, NAT - тут все работает.
ISP2 - резервный LTE на 29xx ISR, на который траффик нужно пускать без NAT'а.
Переключение между каналами настроено переключением default route через sla monitor.

Вопрос: как убедить ASA передавать пакеты на ISP2 без NAT'а, поскольку на ISR должны быть свои правила обработки трафика, которые конечно не сработают если все будет приходить под видом одного ip с ASA. Ну и двойной нат - тоже некрасиво.

(4 Comments |Comment on this)

Juniper WLC + Zabbix. Автообнаружение и мониторинг точек доступа.
Оригинал взят у smart_bit в Juniper WLC + Zabbix. Автообнаружение и мониторинг точек доступа.

(Comment on this)

Трафик через туннель в MPLS VRF

Здравствуйте, господа.

Есть небольшая MPLS конструкция из четырёх маршрутизаторов. Количество не суть важно, важно вот что.
Есть VRF XX, который успешно крутится везде и работает. Потребовалось построить туннель в этом VRF. Построили, всё хорошо. Но. Трафик проходит частично.
Т.е., если интерфейс в VRF XX на том же маршрутизаторе, что и описываемый ранее туннель, то трафик по этому пути ходит. А если трафик для туннеля пришёл с другого маршрутизатора в том же VRF, то трафик получается consumed. Что-то типа вот такого выдаёт в deb ip packets
Jun 17 12:24:27.115 MSK: pak 5007EFF4 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.479 MSK: pak 46DE58A4 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.651 MSK: pak 46DDC984 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.947 MSK: pak 50089F48 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE

спросите вопросы, отвечу ответами.
x-posted cisco_ru, ru_cisco, ru_telecom

(1 Comment |Comment on this)

Помогите оживить старичка
Cisco 7905
Был перепрошит на SIP, работал долго и хорошо, но в один не очень хороший день вошел в режим recovery. С TFTP хочет скачать ldragonr.zup. Но в фирмваре на TFTP такого файла нет. На сайте cisco.com о 7905 уже похоже забыли.
Помогите кто сможет, вдруг у кого завалялись файлы нужные.
Можно в почту sadmitry(гав)gmail.com.

(Comment on this)

неправильная работа PPPoE + NAT overload IOS 15.2
День добрый!

Прошу помочь, сталкиваюсь с этим первый раз.

Есть маршрутизатор 7204 VXR (NPE-G1) с IOS 15.2.
Подключен к провайдеру интерфейсом gi0/1, pppoe dialer. Gi0/2 смотрит в локалку. Сабинтерфейсов нет, акцесс листы все приведены ниже. Все ост. порты на маршрутизаторе админ. выключены, кроме gi0/1 и gi0/2. Все стандартно:

( Read more...Collapse )

UPD: всем спасибо, все решилось путем замены IOS на 15.2(4)M6, стиранием старого конфига, конфигурация не менялась.
Debug ip nat показал, что трансляции от лок. источника 10.0.100.10 (хост) завершались неудачей. Хотя в выводах sh ip nat tr и sh ip nat stat все было чисто и нормально.

(36 Comments |Comment on this)

[решено] cat6500 vlan filter
Здравствуйте, товарищи.

имеем cat6500 с SUP32-GE-3B/MSFC2A/PFC3B, s3223-adventerprisek9-mz.122-33.SXJ6.bin, в ней есть модуль WS-X6148-GE-TX.

и имеем 3750G.

на 3750G установлена и работает фильтрация широковещательных запросов в VLAN 4000:

mac access-list extended badhosts
    permit any host ffff.ffff.ffff

vlan access-map dropbad 10
    action drop
    match mac address badhosts
vlan access-map dropbad 20
    action forward

vlan filter dropbad vlan-list 4000

копирую этот конфиг на 6500, и ничего не фильтруется. то есть как, фильтруется - настроил два порта, один switchport access vlan 4000 и второй switchport capture allowed vlan 4000, и вижу в обоих портах одно и то же - широковещательные запросы есть и там и там, то есть фильтр вроде работает, но пакеты не дропаются.

читал документацию, вычитал только разве что про platform cwan acl software-switched, включил, не помогло. что делать? менять IOS на другой?

UPD: решено. чтобы заработало на 6500 нужно сделать:

# conf t
(config)# int vlan 4000
(config-if)# no shut
(config-if)# mac packet-classify


(15 Comments |Comment on this)

Подружить D-Link и Cisco
Всем привет!
На данный момент имеется десяток удаленных точек по городу, с D-Link DFL-210/260 в каждом, и DFL-1600 в центральном офисе. Поднят десяток AES туннелей. Всё работает, но центральный dfl-1600 медленно помирает. Покупать на его смену новый dfl-1660 за over 100K рука не поднимается, посольку под боком валяется без дела Cisco 2851, с еще и AIM-VPN/SSL-2 на борту.
Отсюда вопрос: реально ли поставить 2851 на замену центровому длинку dfl-1600? Поднимутся ли туннели? Был ли у кого-нибудь опыт?

(18 Comments |Comment on this)

Система управления ACL
Всех с маленькой пятницей!

Есть некоторое количество цискорутеров.
Есть большое количество пользователей и серверов. Доступ между которыми, соответственно, надо регулировать.

Сейчас это аццкий трэш в access-list, которые правятся ручками. В половине случаев комментарии отсутствуют либо неактуальны. Многие правила старые как хрен знает что.

Хочется систему, которая бы могла дергать ip пользователей и серверов из DNS, умела в AD (например, доступ на основе членства в группах), умела делать срочные (в смысле на срок) правила ну и т.д.

Есть такое, или я много хочу? Можно платное.

P.S. Prime это хорошо, но только если какой-то его модуль? Весь ставить надобности не вижу.

X в ru_sysadmins

(10 Comments |Comment on this)

TACACS
А напомните плиз синтаксис группы, в которой можно описать список конкретных NAS-ов, на которые имеет право ходить юзер, находящийся в данной группе? Хочу сделать двух юзеров, админящих разные роутеры. Что-то угуглился, а результат нулевой. Точно помню что можно было сделать.

Спасибо

(2 Comments |Comment on this)

VPN между Cisco и Mikrotik за NAT.
Добрый день, коллеги.
Вводная: в центре роутер циска, на удалленых точках микротики. В штатном режиме между ними L2-VPN от провайдера с OSPF в качестве динамического роутинга. В случае падения канала на точке, где микротик, надо поднять временный канал через интернет с OSPF внутри. В качестве интернета что-нибудь мобильное (3G, скайлинк и т. п.), часто, в таком случае, микротик оказывается за NAT-ом (интересует именно такой случай). У циски есть ip в инете.

Вариант с IPIP/GRE тунелем c IPSec отпадает, так как микротик за NAT. Поднял L2TP сервер на циске, микротик в виде клиента. Без IPSec все работает, тунель поднимается, роутинг тоже. Как только настраиваю IPSec, который успешно поднимается, L2TP перестает работать. Все это, если микротик за nat-ом, если без nat-а, то l2tp с ipsec работает.

Посоветуйте может я чего-то упускаю или дайте идею, как еще можно поднять временный vpn-канал в таких условиях.

P.s. Про везде циски с dmvpn знаю, но тут, к сожалению, не тот случай.

(10 Comments |Comment on this)

Почему я вижу трафик других портов?

(3 Comments |Comment on this)