-
GAMEPOD.hu
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
tusi_
addikt
válasz FecoGee #9373 üzenetére
Erdekes. Persze nem mind1, hogy mennyi Catalystbol van a tobb ticket. Ertem ugy, hogy 10 ugyfelnek van Nexusa, 100nak meg Catalystje.
En is inkabb Catalyst parti vagyok, de DC be Nexust tennek. Eleg egy szvicsre bejelntkezni es nem kell minden egyes accest kikeresni, bejelntkezni....
En lusta vagyok alapvetoeneat, sleep, play, replay
-
tusi_
addikt
válasz kmisi99 #9379 üzenetére
Az az ACL azt mutatja meg a routernek, melyik IP-ket kell majd natolnia. AMIRE natol az lehet egy arva interfesz (egy db IP) , nat pool (sok ip address)
Tehat:
ip access-list standrad NAT
permit 10.0.0.0 0.0.0.255ip nat inside source list NAT interface XX overload. (overload=Dyn PAT)
Ebben az esetben, az XX interface cimere lesz atforditva az osszes belso gep.
eat, sleep, play, replay
-
tusi_
addikt
Erre tud valaki valamit mondani. Kollega IOS updatet akar csinalni, ketlem, hogy az lenne a problema....
eat, sleep, play, replay
-
tusi_
addikt
válasz Cyber_Bird #9386 üzenetére
Be van kapcsolva, neztem a sh ip cef-et.
Van egy verify unicast reverse-path rajta spoofolas miatt, de az sem a ludas. Lekaptam rola de semmi valtozas.
Neztem mi eszi, de mar ha agyon utsz sem tudom a pontos kodot mondani. Valami ip input packets.
De nem hiszem, hogy 45Mbs megenne a 3925-t.eat, sleep, play, replay
-
tusi_
addikt
Nem volt ma idom - kedvem - webexezni, szal marad hetfore.
Mint mondtam, van rajta egy unicast revers-path, ami ugye a spoofingot figyeli, van egy ACL - tele hulye szabalyokkal - meg egy ipsec tunnel interface.
Erdekesseg, hogy kulon crypto map van es azon keresztul csatlakozik a 2 tunnel inetrface.
Mivel az ACL, Cryypto, unicast rev path nem CEFen megy, szvsz azert kuldi fel a cpunak.
Vagy...?
Atakartam huzni a tunnel interfacet GRE konfigra ipsec profillal, de nem engedik a kollegak, mert "eddig igy mukodott, nem nyuljunk hozza, biztos a szerver szar"...Lehet ez a magyarazat?
eat, sleep, play, replay
-
tusi_
addikt
Cyber_Bird, crok.. kiralyok vagytok. Az egyik routeren neztem csak a Cef-et, a masikon nem. Most felhuztam a konfigot GNS3 ban es az ip_input csak akkor jelenik meg, ha a cef ki van love. ip route-cache az intefacen es megjelenik az ip input bazi magas processor terhelessel a sh proc cpu-ban.
eat, sleep, play, replay
-
tusi_
addikt
válasz zsolti.22 #9428 üzenetére
Nagyon szep iras. Csak annyit tennek hozza, hogy csak 12 Ip-d van, mert a drotcast, halocim, te cimed mellett meg a gateway ip - szolgaltato switchenek a SVI cime - is lejon.
Erdekesseg, hogy a routerek sorrendben adjak a PAT cimeket, mig az asa randomra.
eat, sleep, play, replay
-
tusi_
addikt
Inteztem magamnak egy ISE-t is, mostmar beindul a tanulas
eat, sleep, play, replay
-
tusi_
addikt
Profi securitysoktol kerdeznem.
Melyik a jobb, elterjedtebb megoldas tunnel vedelemre? Crypto map, vagy az ipsec profil.
Ugyfelnek jelenleg crypto mapja van, azt atallitanam ipsec profilosra. De ha meg kell indokolnom miert, csak azt mondanm "hogy csakmer" Egyszerubb konfigolni.
Es meg valami. Van akarmilyen ertelme is a tunnel sourcenak/destinationnak loopbackot megadni? Inkabb tennem a jol bevalt fizikai outside interfacet sourcenak es az ellen oldalt dest-nek.
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
válasz zsolti.22 #9449 üzenetére
A secu Professionalunk csinalt egy nem hivatalosat a teszt vlanunkban. Meg ossze kell kicsit raznia, de aztan az igeret szerint csinalunk webexet es egyutt atvesszuk a cuccokat es lesz hozzaferesem is gyakorolni.
Licens? Mittomen, engem nem erdekel, csak menyjen es tudok gyakorolni rajta.
Amugy a radius tok eleg, ha csak anyconnectes usereket kell azonositania. Takacs inkabb akkor, hogy router, switch hozzaferes van, mert minden titkositott nemcsak a jelszav es tud authorizalni is.
Nalunk pl. az eszkoz hozzaferes Takács, az anyconnect meg Radius.
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
Ugy ertem, hogy tunnel interface ES Crypto map, vagy csak Tunnel interface es Ipsec Profil.
GRE Tunnelnel a Tunnelen nincs ipsec profil, hanem egy kripli map. A Gre nem titkosit, csak enkapszulal, hogy a passanger protokollok is tudjanak utazni a tunelben. A VTI prfillal meg tud multicastot, drotcastot, unicastot bla bla bla es meg titkositva is van. Lehet a GRE tunellre felrakni egy profilt es akkor nem kell kriplimap? Ki tesztelem.
Csak erdekelne, hogy melyik a jobb, altalanosabb.
eat, sleep, play, replay
-
tusi_
addikt
válasz Hedgehanter #9453 üzenetére
Ugyfelelt sajnos nem, de IP-ktol eltekintve ugyanaz, mint ez. (kiveve hogy loopback a source es destination)
https://supportforums.cisco.com/discussion/11562771/ipsec-tunnel-and-gre-over-ipsec-tunnel
Gre Tunnel Crypto Map
vs.
VTI Tunnel Profillal.
PS: az elso konfigban nem latszik, de a crypto mappos address "match address INT_TRAFFIC" ott az acl
ip access-list ext INT_TRAFFIC
permit gre any any
vagy
permit gre host blabla host blabla[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
válasz Hedgehanter #9455 üzenetére
Kiba...tt munkaigenyes. Minden egyes tunnel interfacehez kell egy uj crypto map is. Ha nagyon trehany az ember, akkor vegul is felhasznalhatna ugyanazt az ipsec profilet minden egyes tunnel interfeszhez. Vagy lehet dinamikus Tunnelt is csinalni...
Mind1, kollegak nem akarjak, hogy valtoztassak rajta, "never touch a working system". En meg nem fogok erolkodni, igy hagyom...
eat, sleep, play, replay
-
tusi_
addikt
Meg valami:
%CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed
Ezt az uzit kapja az ugyfel a routerre. Namost van egy BUG ehhez - mihez nincs - ahol a 7200 nal jon ez elo es workaroundkent software update es vagy a replay window megvaltoztatasat, vagy a az anti replay teljes kikapcsolasat ajanljak. Ugyfel viszont nem szeretne kikapcsolni, megis csak egy biztonsagi funkcio.
Ilyet lattatok mar? Melyik sw-t tegyem ra, az ajanlottak azok a 7200 hoz valok, fi..om sincs, melyik oldja meg ezt a 3925-nel...eat, sleep, play, replay
-
tusi_
addikt
Köszi crok
Olvastam mind oket mar, de a link mar nincs meg, hala Neked igy at tudom kuldeni az Ügyfailnek - ez tetszik - hogy szemezgessen o is belole.A problem az, hogy LEHET hogy emiatt az OSPF Hellok sem mennek at, valami torlodas van, vagy akarmi es ezert bontja a kapcsolatot (A tunellen megy az ospf baratsag)
Az ospf szakadas es az anti replay nyügök egyszerre jonnek.Amit nem ertek, mi a banatert kell tunnel meg ospf, amikor csak par nyugos szerver van 1-2 userrel. Meg biztosabb is lenne, hogy sima Ipsec s2s lenne,mert akkor csak a maghatarozott IP-k/portok mehetnenek a tunellen, igy viszont barmelyik szerencsetlennek hozzaferese van minden porthoz, szerverhez.
Soha nem fogom megerteni a nemeteket, mindent tul bonyolitanak
Letolnad nekem azt a sablon szoveget, akkor nem kell nekem megfogalmazni, csak atforditani[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
Itt Tennek fel egy kerdest, mert az altalanos topikban biztos az alapoktol kezdenek el magyarazni, hogy mit kell tennem (NAT, DHCP, PPOE....), semmi kedvem vegig olvasgatni.
Ismerosomnel DigiNet van egy TpLink 741-es routerral. A sebesseg valami extrem gaz, 3/1 , pedig 200/100-as a net.
Ha atdugom a bejovo kabelt a Pc-be, akkor jon a teljes savszel, de amint beteszem a routert, jon ez a gagyi savszel. Klonoztam a MAC adresst - a Pcjet a Router wan portjara, hatha valami shaping van- de semmit nem hozott. Gondolkodtam firmware frissitesen, de a vicc az egeszben, hogy 2 honapja mukodott tokeletsen, semmi valtoztatats nem tortent azota (Diginet reszerol nemtudom, hogy volt e valami)
Mi lehet ez, talalkozott mar ilyennel valaki, akinek DigiNetje van?
Ja es nemcsak, hogy lassu, de meg is szakad a net, ha ftp-n toltesz valamit. Ha 64 kb/s re leviszem a "sebesseget" -lassusagot - akkor megy szakadas nelkul. 2 routerrel probaltam, mind2nel ez a helyzet.eat, sleep, play, replay
-
tusi_
addikt
Arra gondolok meg, hogy a Digi bejelentes nelkul - vagy bejelntette, de a 74 eves bacsika, akie a net, fel sem fogta - hogy atalltak nagyobb sebessegre es ezt mar nem birja a router. Sokat kene cachelnie es lenyomja a cpu-t, ezrt is a szakadas, ha "meg van terhelve".
eat, sleep, play, replay
-
tusi_
addikt
válasz zsolti.22 #9527 üzenetére
Hat ez az. Ha nem vinne a 200/100-at, ok, menne csak 100/50-en, vagy meg lassabban. De a 3/1 igencsak gagyi, raadasul SZAKAD is, ami nem igazan jo jel.
Mtu 1490 volt, levittem 1450-re semmi valtozas. Majd mindent kiprobaltam - talan vmit nem, ami nem jutott eszembe - de semmi valtozas. 2 honappal ezelott vigan ment, ezert sem ertem
Router csere sem hozott semmi javulast, rgo HW hibat kizarnam, hacsak nem mind2 veletlenul f.seat, sleep, play, replay
-
tusi_
addikt
válasz u04pakh #9540 üzenetére
konfig reszletet tudnal kopizni IP cimek nelkul termeszetesen?
22-es portot nem natolnam egy szerverre, azon az ASA hallgat.
Az elobbi megoldas jobban hangzik, egy nem wellknown portot atforwardolni a szerver 22-es portraEs ha meg nem mentetted a konfigot, akkor egy more nvram:startup-config, ott lathatod az eredeti beallitast.
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
válasz u04pakh #9546 üzenetére
Ez nem a teljes kimenet gondolom.
Szerintem ez lesz a nyerö:
static (inside,outside) tcp interface 59030 192.168.1.35 22 netmask 255.255.255.255
A puttyval meg amikor beakarsz jelentkezni kintrol, akkor a outside ip es a port a 59030. Access-listet meg hozza kell passzintani.
felelosseget nem vallalok
eat, sleep, play, replay
-
tusi_
addikt
Bakker. most esett le. Te a szerver portot akarod megvaltoztatni?
eat, sleep, play, replay
-
tusi_
addikt
válasz u04pakh #9548 üzenetére
Igen.
Ha most vissza allitottad a szerveren a 22 es portot es ujrainditottad az ssh daemont, akkor most a 22-es proton figyel a szerver. Ha beviszed az ASA-ba a portforwardot, akkor kintrol bejelentekve az ASA outside publikus ip je melle az uj portszamot kell megadni es akkor az ASA atforwardolja a megadott ipre es portra a kerest. Persze az acl-t hozza kell passzintani. Uj natnal a real portot kell megadni az aclben, reginel nemtudom. Vedd fel probabol mind2 es aztan amelikyre van match az marad, amelyikre nincs azt torlod.
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
válasz u04pakh #9554 üzenetére
"Eddig a 22-es port volt forwardolva a szerver 22-es portjára. Ez lett a szerveren megváltoztatva pl. 59030-ra, tűzfalban csináltam egy nat-ot rá (inside, outside port is 59030), de nem tudtam bejelentkezni. Ezért a szerveren az ssh-t visszaállítottam a 22-es porta, de amikor a tűzfalban létre akartam hozni megint a szabályt (inside, outside port is 22) nem engedte a lenti hibaüzenettel."
ACL-t atirtad az uj portokkal? Ha nem, akkor az lehetett a baj.
eat, sleep, play, replay
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- LG 27GP850P-B 27" Nano IPS 2K - 180Hz (oc) 1ms
- Macbook Air M1 sg. magyar bill. hibátlan 2025.10.04. Apple garancia
- HP 14-ep0012nt - ÚJ - 14" FullHD notebook - Core i3-N305, 8GB, 512SSD, Windows 11
- Iphone SE 2.GEN 2020 64GB Független, karcmentes, Nagyon Jó AKKU, Garancia, Üzletből
- Ipad Pro 12.9" 1. GEN 256GB WIFI+Cellular, Szép Állapot, üzletből, garanciával
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Promenade Publishing House Kft.
Város: Budapest