<Gianremo> domanda: avete la più pallida idea del perchè DDNS non sale su un 877?
<Gianremo> quando è settato, l’interfaccia ci mette tempo ad andare in “sh” o “no sh”… quasi come se la CPU andasse overload
<Marco> ti succede solo quando attivi DDNS?
<Gianremo> sì
<Marco> mi fai un debug IP dDNS update?
<Marco> durante la fase di update?
<Gianremo> eh magari
<Marco> che servizio DDNS usi?
<Gianremo> non debugga niente :)
<Gianremo> mi comincia a puzzare di IOS buggata
<Gianremo> uso DynDNS
<Marco> lo stesso che uso io
<Marco> mai avuto questi problemi
<Marco> ma è strano che non debugga
<Gianremo> vorrei almeno arrivare a capire il perchè.
<Gianremo> ovviamente “term mon” e “debug ip dDNS u”
<Marco> si certo
<Marco> passami la config del DDNS
<Marco> magari la guardo un attimo
<Gianremo> ho provato a disattivare anche l’ACL in ingresso sulla dialer, pensando che non facesse l’inspect
<Gianremo> ma nada
<Gianremo> un secondo
<Gianremo> elsewhere#sh run | s dDNS
<Gianremo> ip dDNS update method intel-homelinux-net
<Gianremo> HTTP
<Gianremo> add http://intel87:$$$$@members. DynDNS.org/nic/update?system= DynDNS&hostname=<h>&myip=<a>
<Gianremo> interval maximum 0 0 0 10
<Gianremo> elsewhere#
<Gianremo> ovviamente, i comandi sotto l’intf ora sono disattivati
<Gianremo> perciò non compaiono nella running
<Gianremo> comunque
<Gianremo> int tun0 (intf di prova, per non tirar giù la connessione)
<Gianremo> ip dDNS u intel-homelinux-net
<Gianremo> ip dDNS u h intel.homelinux.net
<Marco> int tun0 che IP ha?
<Marco> pubblico o privato?
<Gianremo> un IP a caso
<Gianremo> 60.60.60.60
<Gianremo> /24
<Marco> mmhh, una cosa
<Marco> quando configuri il DDNS sull’interfaccia TUN0, cosa succede esattamente?
<Marco> si blocca il router?
<Gianremo> assolutamente niente
<Gianremo> però se vado a fare “no sh” l’interfaccia ci mette 5 minuti a salire
<Gianremo> vedo il cursore che va in background
<Marco> penso perchè non riceva risposta dal DDNS Server
<Gianremo> si l’ho pensato anche io
<Marco> e va in time out
<Gianremo> esatto, stesso mio ragionamento
<Gianremo> ho aperto il mondo
<Gianremo> ma nada.
<Marco> del resto gli stai mandando un IP non ruotato
<Gianremo> umh.
<Gianremo> ma non credo, perchè: http://intel87:$$$$@members. DynDNS.org/nic/update?system= DynDNS&hostname=mio_host&myip=IP_RANDOM
<Gianremo> così, a mano, funziona
<Marco> dici se passi l’URL direttamente da Web
<Gianremo> sì sì
<Gianremo> ma scusa, stessa cosa dovrebbe farlo anche lui
<Gianremo> usa HTTP…
<Marco> ovvio
<Marco> non è un problema di ACL o di CBAC
<Marco> puoi fare la stessa prova su un interfaccia fisica
<Marco> tipo la dialer?
<Marco> se sei in PPPoA
<Marco> o PPPoE
<Gianremo> si, sono in PPPoA
<Marco> prova un attimo
<Gianremo> ho pensato anche io, che probabilmente non gli piaceva l’intf virtuale, e provai sulla dialer
<Gianremo> ma il debug non parte comunque
<Marco> il debug non parte perchè non sta funzionando il servizio DDNS
<Gianremo> eh, ma a me pare correttamente configurato
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> hai dato a intel.homelinux.net il nome del URL
<Marco> e lo stesso nome al method?
<Gianremo> sì
<Gianremo> [23:28] IP DDNS u intel-homelinux-net
<Gianremo> [23:28] IP DDNS u h intel.homelinux.net
<Gianremo> IP DDNS update method intel-homelinux-net
<Marco> IP DDNS update intel-homelinux-net host intel-homelinux-net
<Marco> dovrebbe essere così
<Gianremo> elsewhere(config-if)#IP DDNS u?
<Gianremo> WORD Method name
<Gianremo> hostname Dynamic DNS update hostname
<Gianremo> il comando l’ho applicato correttamente
<Gianremo> sia con il nome del metodo, sia del DNS
<Marco> sisi ho visto
<Gianremo> mh, però, aspetta
<Gianremo> il comando “host” non l’ho usato
<Gianremo> anche perchè sulla guida Cisco non era segnato come obbligatorio
<Gianremo> e non ne parlava
<Marco> ascolta, prova così
<Gianremo> non credo sia quello il problema
<Gianremo> dica
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> IP DDNS update hostname intel-homelinux-net
<Gianremo> ok
<Gianremo> provo :)
<Marco> aspetta, no
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> prova
<Gianremo> un secondo
<Gianremo> sto provando con l’aggiunta di “host”
<Gianremo> perchè come hai detto prima, è il metodo classico che avevo già fatto e rifatto
<Gianremo> elsewhere#term mon
<Gianremo> elsewhere#debug IP DDNS u
<Gianremo> Dynamic DNS debugging is on
<Gianremo> elsewhere#
<Gianremo> mah, nemmeno l’ombra.
<Gianremo> elsewhere(config-if)#sh
<Gianremo> *Jan 30 00:03:58.219: DYNUPD: SWIF goingdown ‘Tunnel0’
<Gianremo> qui va in background per parecchio.
<Marco> ma hai fatto come ti ho detto?
<Gianremo> [23:46] <Marco> aspetta no
<Gianremo> [23:47] <Marco> IP DDNS update hostname intel.homelinux.net
<Gianremo> [23:48] <Marco> prova
<Gianremo> così l’avevo già fatto
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> prima
<Gianremo> si, fatto anche quello
<Marco> una cosa
<Marco> il dominio intel.homelinux.net
<Marco> deve finire per DynDNS.org
<Gianremo> O_o
<Gianremo> dipende da quello? :|
<Marco> devi registrare un indirizzo con DynDNS.org
<Gianremo> homelinux.net è offerto da DynDNS
<Gianremo> ora provo..
<Gianremo> magari poi metto homelinux.net CNAME a DynDNS.org
<Marco> poi fai un alias
<Marco> ma intanto prova ad usare un dominio che finisca per DynDNS.org
<Gianremo> si ma
<Marco> crealo come test
<Gianremo> sisi, sto facendo
<Gianremo> però non avrebbe senso
<Gianremo> cioè, comunque il Cisco deve fare una semplice query http
<Gianremo> a lui cosa gli importa della fine del DNS?
<Marco> si ed in quella query deve specificare un indirizzo FQDN
<Gianremo> si appunto
<Marco> compreso il suffisso
<Gianremo> intel.homelinux.net è FQDN
<Marco> certo
<Marco> ma non sotto DynDNS.org
<Gianremo> boh, ora provo
<Gianremo> intanto disattivo l’ACL
<Gianremo> perchè l’SPI funzia per la LAN
<Gianremo> ma per il router in sè, non và
<Marco> l’ACL non dovrebbe influire
<Marco> visto che la richiesta HTTP parte dal tuo router
<Gianremo> eh
<Gianremo> nella dialer0
<Gianremo> ho di default in deny
<Gianremo> quindi non va :)
<Marco> in IN o in OUT?
<Gianremo> IN
<Marco> deny any any è implicito in una ACL
<Marco> se è in IN
<Gianremo> sì
<Marco> vuol dire che se le sessioni arrivano dall’esterno blocca
<Gianremo> esatto
<Marco> non dal router verso l’esterno
<Gianremo> eh
<Gianremo> si ma..
<Marco> quindi se il tuo router inizia una sessione HTTP verso DynDNS
<Gianremo> le risposte di call-back del 3way handshaking?
<Gianremo> senza di quelle, timeoutta in ogni caso
<Marco> si ma la sessione è estabilished
<Marco> SYN
<Marco> ACK
<Marco> SYN ACN
<Marco> non ci sono altri SYN da parte del Web Server remoto
<Marco> a meno che parta un FIN
<Marco> e ti richiama lui
<Marco> con un SYN
<Marco> ma questo dovresti loggarlo dalle ACL per essere sicuro
<Gianremo> mh
<Gianremo> sono quasi sicuro che sia così
<Gianremo> perchè con firewall su
<Gianremo> il router non risolve.
<Gianremo> ma poi non capisco, perdonami
<Gianremo> con l’inspect attivo
<Marco> non risolve a livello DNS?
<Gianremo> non dovrebbe essere valido anche per il router locale?
<Gianremo> sì
<Gianremo> (gli IP sono settati)
<Marco> scusa
<Marco> ma hai attiva l’IP inspect su UDP?
<Gianremo> sì
<Marco> e TCP?
<Gianremo> anche
<Marco> ok
<Gianremo> attivato IN sulla VLAN1
<Marco> se fai un telnet alla 53 del tuo server DNS
<Marco> si apre il socket?
<Gianremo> no.
<Marco> mmhh
<Gianremo> però dalla LAN si
<Marco> un’altra cosa
<Marco> fai un telnet al server DynDNS sulla 80
<Marco> si apre?
<Marco> e poi magari mandagli la stringa GET HTTP
<Marco> per vedere se risponde il server web
<Gianremo> beh oddio, l’ho provato il link e funziona
<Gianremo> mi aggiorna il DNS..
<Marco> dal PC
<Marco> provalo dal router
<Gianremo> ok un attimo.
<Gianremo> elsewhere#telnet 212.216.112.112 53
<Gianremo> Trying 212.216.112.112, 53 …
<Gianremo> % Connection timed out; remote host not responding
<Gianremo> vedi
<Gianremo> questo è con firewall up
<Gianremo> sarà la stessa cosa per HTTP
<Marco> certo
<Marco> poi mi fai vedere che hai configurato con l’IP inspect
<Gianremo> ok
<Marco> prova anche con HTTP
<Marco> e presentati come source interface sulla dialer 0
<Marco> non su la VLAN 1
<Gianremo> timeout.
<Marco> prova su Google
<Gianremo> ti copio le regole su nopaste
<Gianremo> aspetta
<Marco> telnet www.google.it 80
<Gianremo> si, ma con il firewall up andrà sempre in timeout
<Gianremo> devo disattivarlo
<Marco> dammi le regole
<Marco> comunque anche disattivato mi dicevi che DDNS non va, giusto?
<Gianremo> http://nopaste.info/1fb7a27299.html
<Marco> fai prima, mandami la config del router
<Gianremo> si esatto, non va
<Gianremo> eh, non voglio darti troppo fastidio
<Gianremo> comunque ok..
<Marco> no, tranquillo
<Marco> mi intrippo con il troubleshooting
<Gianremo> :)
<Gianremo> un secondo
<Marco> k
<Marco> esamino….
<Gianremo> Dropping TCP Segment: seq:1528264671 1500 bytes is out-of-order; expected seq:1528240095. Reason: TCP reassembly queu
<Gianremo> mh
<Gianremo> non vorrei che fosse il reassembly..
<Marco> questo dovrebbe essere il virtual-reassembly
<Gianremo> sì
<Marco> sulla Dialer0
<Gianremo> esattamente
<Marco> prova ma mi sembra strano
<Marco> hai OUTBOUND disattivato al momento giusto?
<Gianremo> no, attivo
<Marco> k
<Gianremo> OUTSIDEACL è disattivo
<Marco> ok
<Marco> disattiva il virtual reassembly
<Marco> provato?
<Marco> così comunque riesci a fare telnet su la 80 del server DynDNS?
<Gianremo> no nemmeno.
<Marco> ma come
<Marco> ti presenti con la dialer 0?
<Gianremo> eh
<Gianremo> suppongo lo faccia di default
<Gianremo> perchè l’indirizzo è esterno alla mia LAN
<Marco> si certo
<Gianremo> e poi risolve
<Gianremo> quindi sì
<Marco> telnet www. DynDNS.org 80
<Marco> Trying www. DynDNS.org (63.208.196.100, 80)… Open
<Marco> GET HTTP
<Marco> Bad Request
<Marco> Your browser sent a request that this server could not understand.
<Marco>
<Marco> [Connection to www. DynDNS.org closed by foreign host]
<Marco> dovrebbe fare così
<Gianremo> in effetti lo fa.
<Gianremo> ma appena rimetto le ACL, no
<Gianremo> e comunque, secondo me, comincia a puzzare di bug
<Gianremo> almeno credo
<Marco> metti l’ACL
<Marco> e fammi un logging dei deny
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> *Jan 30 00:49:04.887: DYNUPD: SWIF comingup ‘Tunnel0′
<Gianremo> *Jan 30 00:49:06.887: %LINK-3-UPDOWN: Interface Tunnel0, changed state to up
<Gianremo> vedi
<Gianremo> ci mette una vita a salire
<Gianremo> come se si impallasse
<Marco> fammi un logging monitor informational
<Marco> e poi ter mon
<Marco> poi prova il telnet alla 80
<Marco> e mandami i logs
<Gianremo> un sec
<Gianremo> ammesso che escano i log
<Marco> aspetta
<Marco> no se non definisci il log sulle ACL
<Gianremo> definito
<Gianremo> un attimo
<Marco> ok
<Marco> almeno specifica in deny any any log-input
<Gianremo> Trying www. DynDNS.org (63.208.196.100, 80)…
<Gianremo> *Jan 30 00:54:14.071: %SEC-6-IPACCESSLOGP: list OUTSIDEACL denied TCP 63.208.196.100(80) -> 82.55.180.80(32770), 1 packet
<Gianremo> eccolo qui
<Gianremo> è il packet inspection :)
<Gianremo> anche se attivo, il router non se lo calcola
<Marco> no
<Marco> è la ACL named
<Gianremo> si
<Gianremo> però dico
<Marco> il packet inspection fa altro
<Gianremo> è attivo anche l’inspect..
<Gianremo> dovrebbe permettermi quella connessione.
<Marco> si ma quello è statefull sulle sessioni
<Gianremo> come lo fa con LAN
<Marco> esatto
<Marco> non c’entra
<Gianremo> eh, scusa, non dovrebbe permettermi anche quella session?
<Marco> devi definire una ACE
<Marco> che specifica il dialogo permit IP any any estabilished
<Gianremo> quindi, l’inspection, viene valutata solo per le sessioni in LAN?
<Marco> esatto
<Marco> in ingresso
<Gianremo> … e all’occorrenza anche in uscita
<Gianremo> no?
<Marco> dalla LAN verso il Router
<Marco> no
<Gianremo> tipo se ho un server in LAN con deny implicit in uscita
<Marco> fa solo un controllo delle delle half-openend connection
<Gianremo> devo comunque permettere l’inspection, no?
<Marco> nessun protocol inspection sulla Dialer 0
<Marco> solo VLAN 1
<Gianremo> si, ma infatti è settato sulla VLAN1
<Gianremo> in ogni caso,
<Gianremo> perdonami, ma voglio capire bene :-)
<Gianremo> l’spi
<Gianremo> in uscita, non va specificata?
<Gianremo> nel senso
<Marco> devi definire un ACE, che abiliti il dialogo estabilished a livello TCP
<Gianremo> LAN — router— cloud
<Marco> permit TCP any any estabilished
<Marco> sulla OUTSIDE ACL
<Gianremo> eh, ma così apro anche il mondo
<Marco> no
<Marco> o almeno
<Gianremo> secondo me, si
<Gianremo> provo
<Marco> permit TCP 80 any estabilished
<Gianremo> uso nmap per scannare
<Marco> se vedi ti fa il callback partendo dalla 80
<Gianremo> si, quello già provato
<Marco> ma la cosa strana è che inizia una sessione nuova
<Gianremo> avevo provato per i DNS
<Gianremo> permit UDP any eq 53 any
<Marco> no, è diverso
<Marco> quello permetti il SYN
<Marco> la estabilished avviene solo dopo l’ACK TCP
<Gianremo> eh
<Marco> qundi deve partire a sessione richiesta da parte tua
<Gianremo> eh appunto
<Gianremo> il SYN deve comunque partire
<Marco> si ma da te
<Gianremo> se fai te una richiesta
<Marco> non dal server remoto
<Gianremo> eh si
<Marco> una volta stabilita la sessione
<Marco> l’ACL mantiene il dialogo aperto
<Marco> fai così casomai
<Marco> prova
<Marco> permetti le sessioni TCP estabilished
<Gianremo> mi pare un controsenso che il Cisco non usi l’spi anche per se..
<Gianremo> :\
<Gianremo> mhhhh
<Gianremo> mhhhh.
<Gianremo> anzi no. niente.
<Gianremo> in che senso?
<Gianremo> permi TCP any any esta?
<Marco> si, prova
<Marco> poi restringi
<Gianremo> eh no
<Gianremo> non va comunque
<Gianremo> dovrebbe essere la prima della lista
<Marco> si certo
<Marco> spostala
<Gianremo> un attimo che riscrivo la lista
<Marco> k
<Gianremo> elsewhere(config)#no int tun0
<Gianremo> guarda
<Gianremo> è rimasto così
<Gianremo> perchè c’è il DDNS attivo in quella int
<Gianremo> con il cursore in background
<Marco> si avevo capito
<Marco> cerca di contattare il server DynDNS
<Marco> DynDNS
<Marco> che non risponde
<Gianremo> pure quando abbatte l’intf?
<Gianremo> non ha senso
<Marco> si, penso che mandi il log out
<Gianremo> umh
<Gianremo> ah ok
<Gianremo> in effetti hai ragione.
<Gianremo> rimarrà attiva la connessione con delle KA
<Marco> secondo me chiude la sessione di aggiornamento
<Marco> del resto se vedi cè l’intervallo di update definito sul metodo
<Gianremo> l’ho messo a 10 secondi
<Marco> il problema è che il tuo router non parla con un DynDNS server
<Gianremo> per vedere subito l’output sul debug
<Gianremo> che non c’è..
<Gianremo> si ma la cosa strana è che non sale neanche senza ACL
<Gianremo> mi pare assurdo
<Marco> si per questo penso ad un’altra cosa
<Marco> che ti ho detto prima
<Marco> stai usando l’IP inspection per filtrare le half-opened connections
<Marco> ovvero sono regole anti SYN-Flood
<Gianremo> mh
<Gianremo> dovrei provare a disattivare l’spi
<Marco> è possibile che creino qualche problema
<Gianremo> si ma mi pare assurdo
<Gianremo> lol, regola spostata a prima.
<Marco> sono corrette per carità
<Gianremo> niente, timeout.
<Marco> passa?
<Gianremo> non passa
<Gianremo> almeno le regole, son corrette, si?
<Marco> si
<Gianremo> ok, grazie..
<Marco> ma mi avevi detto però prima che con la ACL tolta passava
<Gianremo> eccomi
<Gianremo> scusa
<Gianremo> ho provato a togliere l’SPI, mi ha resettato la nat table :P
<Marco> è normale
<Gianremo> si, passava senza
<Marco> ok
<Gianremo> aspetta un attimo
<Gianremo> torno subito
<Marco> k
<Gianremo> ok
<Gianremo> sono senza ACL e senza SPI
<Marco> dovrebbe andare, giusto?
<Gianremo> niente. LOL
<Marco> ok
<Marco> mi sembrava strano per le ACL comunque
<Gianremo> credo proprio che sia buggata l’IOS a questo punto
<Marco> fai un telnet sulla 80 a Google
<Gianremo> elsewhere(config-if)#IP DDNS u intel-homelinux-net
<Gianremo> elsewhere(config-if)#IP DDNS u h intel.homelinux.net
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> eh aspetta
<Gianremo> ns resolved intel.homelinux.net to 10.20.30.40
<Gianremo> non l’ha manco aggiornato
<Gianremo> mi fa rosicare che non debugghi niente.
<Marco> ascolta ma il router raggiunge il server DynDNS sulla 80?
<Gianremo> Sì, ora sì, anche Google
<Marco> ok
<Gianremo> però senza ACL ed SPI.
<Marco> ok
<Marco> configura come ti dicevo prima
<Marco> un dominio dyDNS.org
<Marco> qualsiasi a tua scelta
<Gianremo> ok
<Gianremo> Dns resolved qualcosa. DynDNS.org to 10.20.30.40
<Gianremo> vediamo se lo modifica
<Marco> ok
<Gianremo> background.
<Gianremo> che io a questo punto chiamerei vero e proprio crash
<Marco>
<Marco> ho trovato questo che è esattamente come l’ho configurato io
<Marco> interface Dialer1
<Marco> IP DDNS update hostname myCisco. DynDNS.org
<Marco> IP DDNS update DynDNS host members. DynDNS.org
<Gianremo> l’unica differenza è che io uso le variabili interne di IOS
<Marco> importante è l’host members.dyDNS.org
<Marco> riconfiguralo così come ti dice il tutorial
<Marco> è ad hoc per DynDNS
<Gianremo> rifaccio la conf
<Gianremo> vediamo
<Marco> io stacco
<Marco> vado a nanna
<Gianremo> ok
<Marco> fammi sapere come va
<Gianremo> ti ringrazio per la pazienza
<Gianremo> domani ti farò sapere
<Marco> figurati
<Gianremo> grazie mille
<Gianremo> sei un geniazzo
<Marco> io?
<Marco> ma dai
<Gianremo> eh sì
<Marco> per quanto riguarda la ACL comunque ti do qualche dritta su come configurarla
<Marco> mancano un po’ di cosette
<Gianremo> ok ok
<Marco> ci sentiamo domani
<Gianremo> grazie
<Marco> Notteee
<Gianremo> sera
<Marco> Com’è? Come va con il DDNS?
<Gianremo> non funziona
<Gianremo> ora faccio una ricerca
<Gianremo> sicuramente è buggata l’IOS
<Marco> ma hai seguito il tutorial?
<Marco> usando un dominio dyDNS.org?
<Marco> e disattivando ACL e CBAC?
<Gianremo> certo
<Marco> prova ad aggiornare IOS
<Marco> ma è molto strano
<Gianremo> è l’ultima disponibile per l’877
<Gianremo> no ma la cosa che mi fa più rabbia
<Gianremo> è che non ho materiale su cui fare debugging
<Gianremo> non debugga un accidente
<Marco> a me funziona perfettamente
<Marco> se usi comunque CBAC e ACL
<Marco> devi comunque usare una ACE che permette il traffico dalla 80 del server DynDNS verso il tuo router
<Gianremo> si lo so
<Gianremo> ma purtroppo non parte proprio
<Gianremo> mah
<Marco> si infatti
<Marco> prova ad usare una versione precendente di IOS
<Marco> che release hai caricato?
<Gianremo> un sec
<Gianremo> scusami, ero in cucina
<Gianremo> elsewhere>sh ver | s bin
<Gianremo> System image file is “flash:c870-advipservicesk9-mz.124-15.T1.bin”
<Gianremo> elsewhere>
<Marco> non è l’ultima
<Gianremo> ah no?
<Marco> c’è la 12.4.15T3
<Gianremo> un mese fa lo era
<Gianremo> in realtà, l’877 è nato con una IOS Security, l’advipservices l’ho messa io in seguito
<Marco> si, è in bundle con il router
<Marco> ma è wifi?
<Gianremo> no
…
<Gianremo> we :D
<Gianremo> era la IOS buggata :)
<Gianremo> ora pare che funzioni e debugghi pure
<Marco> ma LOL
<Gianremo> c’è solo una cosa che mi lascia perplesso
<Marco> avevamo voglia di impazzire
<Gianremo> eheh infatti
<Marco> dimmi
<Gianremo> con la T1, il ping sul NAS era sui 9ms.. ora con la nuova ios, è sui 15-16 O.o
<Gianremo> che tu sappia, applica payload/header aggiuntivi ai packs?
<Marco> chi il DDNS fa overhead? no assolutamente
<Marco> controlla la CPU
<Marco> il problema può essere un sovraccarico del processore
<Marco> CEF è attivo?
<Gianremo> si
<Gianremo> è attivo
<Marco> fai sh proc cpu
<Gianremo> il DDNS al momento è disabled
<Gianremo> 0%
<Marco> in uscita hai traffico?
<Gianremo> nono
<Gianremo> tutto flat
<Gianremo> :D
<Gianremo> argh, scusa… è pronto a pranzo
<Gianremo> torno subito
<Marco> ok a dopo
<Gianremo> bappe, a dopo
<Gianremo> sera
<Marco> ciao
<Gianremo> we n0r1z :D
<Gianremo> pensa, ho rimesso l’IOS precedente
<Gianremo> ho capito il problema del DDNS.
<Marco> cosa era?
<Gianremo> con debug IP DDNS attivo e term monitor attivo, ricordi che non mi stampava nulla via vty?
<Marco> si
<Gianremo> bene, secondo me, è un bug nella gestione della memoria, qualcosa su malloc o simili…
<Gianremo> perchè non appena mi ricollegavo via console
<Gianremo> dalla com1, per intenderci
<Gianremo> il DDNS andava avanti, e non si bloccava in background
<Gianremo> ora pare che, senza debug attivo, funzioni egregiamente
<Marco> logging monitor informational?
<Gianremo> no
<Gianremo> term monitor
<Marco> vado a cena
<Marco> a dopo
<Gianremo> buona cena
<Gianremo> [ora mi rimane da capire perchè, con due versioni di IOS differenti, il ping sull’ultima release è raddoppiato)
<Marco> tornato
<Federico> :)
<Marco> questo è strano effettivamente
<Marco> ma sul DDNS, che config hai usato?
<Gianremo> la classica
<Marco> quella con homelinux?
<Gianremo> y
<Marco> CBAC e ACL attivi?
<Gianremo> sì
<Gianremo> ho aperto giusto sull’IP del DNS di DynDNS porte >1023
<Gianremo> per il callback del 3way handshake
<Marco> si, del resto da router la sessione è stateless
<Marco> mentre dal PC è statefull
<Gianremo> come mai questa differenza?
<Gianremo> nella CCNP è spiegato?
<Marco> no, lo trovi nel CCSP
<Gianremo> ah ok
<Marco> è il funzionamento di CBAC
<Marco> attiva l’inspection per il traffico che entra dalla VLAN 1
<Gianremo> ma se ne frega di quello che entra nella WAN
<Marco> e crea un’apertura dinamica, modificando logicamente l’ACL applicata in IN su l’interfaccia Dialer 0
<Gianremo> sisi questo lo so
<Marco> tiene conto del sequencing dei pacchetti
<Gianremo> ACL dinamiche in ram
<Marco> esatto
<Marco> ma non solo
<Gianremo> appena finisce la sessione e/o timeoutta, le elimina
<Marco> controlla le sequenze TCP, e che il protocollo sia compilant alle specifiche RFC
<Gianremo> altrimenti lo scarta direttamente
<Marco> esatto
<Marco> quandi mi parlavi all’inizio
<Marco> pensavo che la connessione avvenisse attraverso l’inspection
<Marco> ma se parte dal router, Ú assolutamente stateless
<Gianremo> questo è ISCW, giusto?
<Gianremo> (argomento di esame, intendo)
<Marco> quindi blocca anche l’SYN/ACK
<Marco> che torna dal web server
<Marco> no
<Marco> questo lo trovi nell’esame SNRS
<Gianremo> ah ok..
<Gianremo> no sai perchè.. è SPIegato in un pdf..
<Marco> fatto a Luglio
<Gianremo> (pdf iscw)
<Gianremo> magari è solo un accenno, non è approfondito come nell’snrs
<Marco> si certo
<Marco> comunque CCSP Ú molto interessante
<Marco> SND
<Marco> SNRS
<Marco> SNPA
<Marco> IPS
<Marco> CSA
<Marco> io ho fatto questi
<Marco> sono 5 esami
<Marco> ci sono comunque altri esami a scelta
<Marco> come
<Marco> CSVPN
<Marco> MARS
<Marco> NAC
<Marco> praticamente dovrebbe essere 8 esami per sapere tutto
<Marco> comunque se non ricordo male
<Marco> poi definire un IP inspection router based
<Marco> su TCP e UDP
<Gianremo> mh.
<Gianremo> mi sono già spulciato tutto IP inspect
<Gianremo> non c’è niente a riguardo, da quanto ne so (poco :D)
<Marco> IP inspect name FW_CBAC TCP router-traffic
<Marco> router-traffic Enable inspection of sessions to/from the router
<Marco> esatto, ricordavo bene
<Marco> da provare comunque
<Gianremo> minchia
<Gianremo> sei un genio :D
<Gianremo> provo
<Marco> posso fare dei test comunque
<Gianremo> tnx!
<Marco> prova vediamo
<Gianremo> non ti disturbare
<Gianremo> :D
<Gianremo> cazzo, quella riga proprio non l’ho vista
<Gianremo> che peccato però
<Gianremo> c’è solo in TCP
<Gianremo> volevo specificare solo HTTPS e DNS
<Marco> c’è UDP però
<Gianremo> si si
<Marco> http è TCP
<Marco> controlli a livello trasporto
<Marco> che ti interessa del livello più alto?
<Marco> quello verifica le specs RFC
<Gianremo> eh si
<Gianremo> per non fargli controllare tutto
<Marco> si
<Gianremo> lo limitavo ad http e DNS
<Gianremo> comunque fa niente, sempre meglio di queste:
<Gianremo> permit UDP host 212.216.112.112 any gt 1023
<Gianremo> permit UDP host 212.216.172.62 any gt 1023
<Gianremo> remark ** http DynDNS query **
<Gianremo> permit TCP host 63.208.196.96 any gt 1023
<Gianremo> così non mi andava giu’
<Gianremo> proprio una soluzione sporca
<Marco> bruttissima direi
<Gianremo> eh
<Gianremo> non avevo visto quella funzioncina dell’SPI router based :D
<Gianremo> grazie mille
<Gianremo> ^_^
<Gianremo> ti offrirò una cena
<Gianremo> :D
<Marco> vedi se worka
<Gianremo> sì, un secondo
<Marco> tra l’altro nelle ACL non puoi filtrare per source port
<Marco> perchè potresti filtrare per source 80 dest any
<Gianremo> eh infatti
<Gianremo> (è brutta comunque)
<Marco> in modo da ricevere il SYN/ACK solo dalla sorgente web e basta
<Gianremo> meglio roba dinamica, con l’SPI imho
<Marco> PIX/ASA dove sei?
<Gianremo> 0, proprio.
<Marco> io non amo molto IOS Firewall
<Gianremo> mi sono certificato CCNA a luglio di quest’anno…
<Marco> figurati che nel mio router ho dovuto toglierlo
<Gianremo> però, l’istruttore ci diceva, che i pix sono molto indietro
<Gianremo> tipo l’output degli errori non è preciso
<Gianremo> sera Norsys
<Marco> LO SO questo
<Federico> Ciao Gianremo e Marco
<Marco> ma infatti upgradare a PIX oS 7.0 o 8.0 ha il suo perchè
<Federico> a proposito di PIX.. ora sono ufficialmente EOS
da 2-3 gg mi pare.. :)
<Marco> FINALMENTE
<Marco> comunque ormai nei progetti metto solo ASA
<Marco> da 1 anno e mezzo
<Gianremo> scusate, è pronta la cena
<Gianremo> Marco: non funzia, ceno e ci smanetto
<Marco> okok
<Gianremo> mangio, a dopo
…
<Gianremo> eccomi
<Gianremo> Marco, funziona, grazie..
<Marco> lavora?
<Marco> perfetto allora
<Marco> se ti serve altro aiuto fammi sapere
<Gianremo> grazie per la pazienza
<Gianremo> ora lo attivo anche su ICMP
<Gianremo> così posso pingare dal router
<Marco> hai semplicemente attivato la keywork router-traffic?
<Marco> keyword
<Gianremo> si si
<Gianremo> quante belle cose da sapere
<Gianremo> quando è settato, l’interfaccia ci mette tempo ad andare in “sh” o “no sh”… quasi come se la CPU andasse overload
<Marco> ti succede solo quando attivi DDNS?
<Gianremo> sì
<Marco> mi fai un debug IP dDNS update?
<Marco> durante la fase di update?
<Gianremo> eh magari
<Marco> che servizio DDNS usi?
<Gianremo> non debugga niente :)
<Gianremo> mi comincia a puzzare di IOS buggata
<Gianremo> uso DynDNS
<Marco> lo stesso che uso io
<Marco> mai avuto questi problemi
<Marco> ma è strano che non debugga
<Gianremo> vorrei almeno arrivare a capire il perchè.
<Gianremo> ovviamente “term mon” e “debug ip dDNS u”
<Marco> si certo
<Marco> passami la config del DDNS
<Marco> magari la guardo un attimo
<Gianremo> ho provato a disattivare anche l’ACL in ingresso sulla dialer, pensando che non facesse l’inspect
<Gianremo> ma nada
<Gianremo> un secondo
<Gianremo> elsewhere#sh run | s dDNS
<Gianremo> ip dDNS update method intel-homelinux-net
<Gianremo> HTTP
<Gianremo> add http://intel87:$$$$@members. DynDNS.org/nic/update?system= DynDNS&hostname=<h>&myip=<a>
<Gianremo> interval maximum 0 0 0 10
<Gianremo> elsewhere#
<Gianremo> ovviamente, i comandi sotto l’intf ora sono disattivati
<Gianremo> perciò non compaiono nella running
<Gianremo> comunque
<Gianremo> int tun0 (intf di prova, per non tirar giù la connessione)
<Gianremo> ip dDNS u intel-homelinux-net
<Gianremo> ip dDNS u h intel.homelinux.net
<Marco> int tun0 che IP ha?
<Marco> pubblico o privato?
<Gianremo> un IP a caso
<Gianremo> 60.60.60.60
<Gianremo> /24
<Marco> mmhh, una cosa
<Marco> quando configuri il DDNS sull’interfaccia TUN0, cosa succede esattamente?
<Marco> si blocca il router?
<Gianremo> assolutamente niente
<Gianremo> però se vado a fare “no sh” l’interfaccia ci mette 5 minuti a salire
<Gianremo> vedo il cursore che va in background
<Marco> penso perchè non riceva risposta dal DDNS Server
<Gianremo> si l’ho pensato anche io
<Marco> e va in time out
<Gianremo> esatto, stesso mio ragionamento
<Gianremo> ho aperto il mondo
<Gianremo> ma nada.
<Marco> del resto gli stai mandando un IP non ruotato
<Gianremo> umh.
<Gianremo> ma non credo, perchè: http://intel87:$$$$@members. DynDNS.org/nic/update?system= DynDNS&hostname=mio_host&myip=IP_RANDOM
<Gianremo> così, a mano, funziona
<Marco> dici se passi l’URL direttamente da Web
<Gianremo> sì sì
<Gianremo> ma scusa, stessa cosa dovrebbe farlo anche lui
<Gianremo> usa HTTP…
<Marco> ovvio
<Marco> non è un problema di ACL o di CBAC
<Marco> puoi fare la stessa prova su un interfaccia fisica
<Marco> tipo la dialer?
<Marco> se sei in PPPoA
<Marco> o PPPoE
<Gianremo> si, sono in PPPoA
<Marco> prova un attimo
<Gianremo> ho pensato anche io, che probabilmente non gli piaceva l’intf virtuale, e provai sulla dialer
<Gianremo> ma il debug non parte comunque
<Marco> il debug non parte perchè non sta funzionando il servizio DDNS
<Gianremo> eh, ma a me pare correttamente configurato
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> hai dato a intel.homelinux.net il nome del URL
<Marco> e lo stesso nome al method?
<Gianremo> sì
<Gianremo> [23:28] IP DDNS u intel-homelinux-net
<Gianremo> [23:28] IP DDNS u h intel.homelinux.net
<Gianremo> IP DDNS update method intel-homelinux-net
<Marco> IP DDNS update intel-homelinux-net host intel-homelinux-net
<Marco> dovrebbe essere così
<Gianremo> elsewhere(config-if)#IP DDNS u?
<Gianremo> WORD Method name
<Gianremo> hostname Dynamic DNS update hostname
<Gianremo> il comando l’ho applicato correttamente
<Gianremo> sia con il nome del metodo, sia del DNS
<Marco> sisi ho visto
<Gianremo> mh, però, aspetta
<Gianremo> il comando “host” non l’ho usato
<Gianremo> anche perchè sulla guida Cisco non era segnato come obbligatorio
<Gianremo> e non ne parlava
<Marco> ascolta, prova così
<Gianremo> non credo sia quello il problema
<Gianremo> dica
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> IP DDNS update hostname intel-homelinux-net
<Gianremo> ok
<Gianremo> provo :)
<Marco> aspetta, no
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> prova
<Gianremo> un secondo
<Gianremo> sto provando con l’aggiunta di “host”
<Gianremo> perchè come hai detto prima, è il metodo classico che avevo già fatto e rifatto
<Gianremo> elsewhere#term mon
<Gianremo> elsewhere#debug IP DDNS u
<Gianremo> Dynamic DNS debugging is on
<Gianremo> elsewhere#
<Gianremo> mah, nemmeno l’ombra.
<Gianremo> elsewhere(config-if)#sh
<Gianremo> *Jan 30 00:03:58.219: DYNUPD: SWIF goingdown ‘Tunnel0’
<Gianremo> qui va in background per parecchio.
<Marco> ma hai fatto come ti ho detto?
<Gianremo> [23:46] <Marco> aspetta no
<Gianremo> [23:47] <Marco> IP DDNS update hostname intel.homelinux.net
<Gianremo> [23:48] <Marco> prova
<Gianremo> così l’avevo già fatto
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> prima
<Gianremo> si, fatto anche quello
<Marco> una cosa
<Marco> il dominio intel.homelinux.net
<Marco> deve finire per DynDNS.org
<Gianremo> O_o
<Gianremo> dipende da quello? :|
<Marco> devi registrare un indirizzo con DynDNS.org
<Gianremo> homelinux.net è offerto da DynDNS
<Gianremo> ora provo..
<Gianremo> magari poi metto homelinux.net CNAME a DynDNS.org
<Marco> poi fai un alias
<Marco> ma intanto prova ad usare un dominio che finisca per DynDNS.org
<Gianremo> si ma
<Marco> crealo come test
<Gianremo> sisi, sto facendo
<Gianremo> però non avrebbe senso
<Gianremo> cioè, comunque il Cisco deve fare una semplice query http
<Gianremo> a lui cosa gli importa della fine del DNS?
<Marco> si ed in quella query deve specificare un indirizzo FQDN
<Gianremo> si appunto
<Marco> compreso il suffisso
<Gianremo> intel.homelinux.net è FQDN
<Marco> certo
<Marco> ma non sotto DynDNS.org
<Gianremo> boh, ora provo
<Gianremo> intanto disattivo l’ACL
<Gianremo> perchè l’SPI funzia per la LAN
<Gianremo> ma per il router in sè, non và
<Marco> l’ACL non dovrebbe influire
<Marco> visto che la richiesta HTTP parte dal tuo router
<Gianremo> eh
<Gianremo> nella dialer0
<Gianremo> ho di default in deny
<Gianremo> quindi non va :)
<Marco> in IN o in OUT?
<Gianremo> IN
<Marco> deny any any è implicito in una ACL
<Marco> se è in IN
<Gianremo> sì
<Marco> vuol dire che se le sessioni arrivano dall’esterno blocca
<Gianremo> esatto
<Marco> non dal router verso l’esterno
<Gianremo> eh
<Gianremo> si ma..
<Marco> quindi se il tuo router inizia una sessione HTTP verso DynDNS
<Gianremo> le risposte di call-back del 3way handshaking?
<Gianremo> senza di quelle, timeoutta in ogni caso
<Marco> si ma la sessione è estabilished
<Marco> SYN
<Marco> ACK
<Marco> SYN ACN
<Marco> non ci sono altri SYN da parte del Web Server remoto
<Marco> a meno che parta un FIN
<Marco> e ti richiama lui
<Marco> con un SYN
<Marco> ma questo dovresti loggarlo dalle ACL per essere sicuro
<Gianremo> mh
<Gianremo> sono quasi sicuro che sia così
<Gianremo> perchè con firewall su
<Gianremo> il router non risolve.
<Gianremo> ma poi non capisco, perdonami
<Gianremo> con l’inspect attivo
<Marco> non risolve a livello DNS?
<Gianremo> non dovrebbe essere valido anche per il router locale?
<Gianremo> sì
<Gianremo> (gli IP sono settati)
<Marco> scusa
<Marco> ma hai attiva l’IP inspect su UDP?
<Gianremo> sì
<Marco> e TCP?
<Gianremo> anche
<Marco> ok
<Gianremo> attivato IN sulla VLAN1
<Marco> se fai un telnet alla 53 del tuo server DNS
<Marco> si apre il socket?
<Gianremo> no.
<Marco> mmhh
<Gianremo> però dalla LAN si
<Marco> un’altra cosa
<Marco> fai un telnet al server DynDNS sulla 80
<Marco> si apre?
<Marco> e poi magari mandagli la stringa GET HTTP
<Marco> per vedere se risponde il server web
<Gianremo> beh oddio, l’ho provato il link e funziona
<Gianremo> mi aggiorna il DNS..
<Marco> dal PC
<Marco> provalo dal router
<Gianremo> ok un attimo.
<Gianremo> elsewhere#telnet 212.216.112.112 53
<Gianremo> Trying 212.216.112.112, 53 …
<Gianremo> % Connection timed out; remote host not responding
<Gianremo> vedi
<Gianremo> questo è con firewall up
<Gianremo> sarà la stessa cosa per HTTP
<Marco> certo
<Marco> poi mi fai vedere che hai configurato con l’IP inspect
<Gianremo> ok
<Marco> prova anche con HTTP
<Marco> e presentati come source interface sulla dialer 0
<Marco> non su la VLAN 1
<Gianremo> timeout.
<Marco> prova su Google
<Gianremo> ti copio le regole su nopaste
<Gianremo> aspetta
<Marco> telnet www.google.it 80
<Gianremo> si, ma con il firewall up andrà sempre in timeout
<Gianremo> devo disattivarlo
<Marco> dammi le regole
<Marco> comunque anche disattivato mi dicevi che DDNS non va, giusto?
<Gianremo> http://nopaste.info/1fb7a27299.html
<Marco> fai prima, mandami la config del router
<Gianremo> si esatto, non va
<Gianremo> eh, non voglio darti troppo fastidio
<Gianremo> comunque ok..
<Marco> no, tranquillo
<Marco> mi intrippo con il troubleshooting
<Gianremo> :)
<Gianremo> un secondo
<Marco> k
<Marco> esamino….
<Gianremo> Dropping TCP Segment: seq:1528264671 1500 bytes is out-of-order; expected seq:1528240095. Reason: TCP reassembly queu
<Gianremo> mh
<Gianremo> non vorrei che fosse il reassembly..
<Marco> questo dovrebbe essere il virtual-reassembly
<Gianremo> sì
<Marco> sulla Dialer0
<Gianremo> esattamente
<Marco> prova ma mi sembra strano
<Marco> hai OUTBOUND disattivato al momento giusto?
<Gianremo> no, attivo
<Marco> k
<Gianremo> OUTSIDEACL è disattivo
<Marco> ok
<Marco> disattiva il virtual reassembly
<Marco> provato?
<Marco> così comunque riesci a fare telnet su la 80 del server DynDNS?
<Gianremo> no nemmeno.
<Marco> ma come
<Marco> ti presenti con la dialer 0?
<Gianremo> eh
<Gianremo> suppongo lo faccia di default
<Gianremo> perchè l’indirizzo è esterno alla mia LAN
<Marco> si certo
<Gianremo> e poi risolve
<Gianremo> quindi sì
<Marco> telnet www. DynDNS.org 80
<Marco> Trying www. DynDNS.org (63.208.196.100, 80)… Open
<Marco> GET HTTP
<Marco> Bad Request
<Marco> Your browser sent a request that this server could not understand.
<Marco>
<Marco> [Connection to www. DynDNS.org closed by foreign host]
<Marco> dovrebbe fare così
<Gianremo> in effetti lo fa.
<Gianremo> ma appena rimetto le ACL, no
<Gianremo> e comunque, secondo me, comincia a puzzare di bug
<Gianremo> almeno credo
<Marco> metti l’ACL
<Marco> e fammi un logging dei deny
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> *Jan 30 00:49:04.887: DYNUPD: SWIF comingup ‘Tunnel0′
<Gianremo> *Jan 30 00:49:06.887: %LINK-3-UPDOWN: Interface Tunnel0, changed state to up
<Gianremo> vedi
<Gianremo> ci mette una vita a salire
<Gianremo> come se si impallasse
<Marco> fammi un logging monitor informational
<Marco> e poi ter mon
<Marco> poi prova il telnet alla 80
<Marco> e mandami i logs
<Gianremo> un sec
<Gianremo> ammesso che escano i log
<Marco> aspetta
<Marco> no se non definisci il log sulle ACL
<Gianremo> definito
<Gianremo> un attimo
<Marco> ok
<Marco> almeno specifica in deny any any log-input
<Gianremo> Trying www. DynDNS.org (63.208.196.100, 80)…
<Gianremo> *Jan 30 00:54:14.071: %SEC-6-IPACCESSLOGP: list OUTSIDEACL denied TCP 63.208.196.100(80) -> 82.55.180.80(32770), 1 packet
<Gianremo> eccolo qui
<Gianremo> è il packet inspection :)
<Gianremo> anche se attivo, il router non se lo calcola
<Marco> no
<Marco> è la ACL named
<Gianremo> si
<Gianremo> però dico
<Marco> il packet inspection fa altro
<Gianremo> è attivo anche l’inspect..
<Gianremo> dovrebbe permettermi quella connessione.
<Marco> si ma quello è statefull sulle sessioni
<Gianremo> come lo fa con LAN
<Marco> esatto
<Marco> non c’entra
<Gianremo> eh, scusa, non dovrebbe permettermi anche quella session?
<Marco> devi definire una ACE
<Marco> che specifica il dialogo permit IP any any estabilished
<Gianremo> quindi, l’inspection, viene valutata solo per le sessioni in LAN?
<Marco> esatto
<Marco> in ingresso
<Gianremo> … e all’occorrenza anche in uscita
<Gianremo> no?
<Marco> dalla LAN verso il Router
<Marco> no
<Gianremo> tipo se ho un server in LAN con deny implicit in uscita
<Marco> fa solo un controllo delle delle half-openend connection
<Gianremo> devo comunque permettere l’inspection, no?
<Marco> nessun protocol inspection sulla Dialer 0
<Marco> solo VLAN 1
<Gianremo> si, ma infatti è settato sulla VLAN1
<Gianremo> in ogni caso,
<Gianremo> perdonami, ma voglio capire bene :-)
<Gianremo> l’spi
<Gianremo> in uscita, non va specificata?
<Gianremo> nel senso
<Marco> devi definire un ACE, che abiliti il dialogo estabilished a livello TCP
<Gianremo> LAN — router— cloud
<Marco> permit TCP any any estabilished
<Marco> sulla OUTSIDE ACL
<Gianremo> eh, ma così apro anche il mondo
<Marco> no
<Marco> o almeno
<Gianremo> secondo me, si
<Gianremo> provo
<Marco> permit TCP 80 any estabilished
<Gianremo> uso nmap per scannare
<Marco> se vedi ti fa il callback partendo dalla 80
<Gianremo> si, quello già provato
<Marco> ma la cosa strana è che inizia una sessione nuova
<Gianremo> avevo provato per i DNS
<Gianremo> permit UDP any eq 53 any
<Marco> no, è diverso
<Marco> quello permetti il SYN
<Marco> la estabilished avviene solo dopo l’ACK TCP
<Gianremo> eh
<Marco> qundi deve partire a sessione richiesta da parte tua
<Gianremo> eh appunto
<Gianremo> il SYN deve comunque partire
<Marco> si ma da te
<Gianremo> se fai te una richiesta
<Marco> non dal server remoto
<Gianremo> eh si
<Marco> una volta stabilita la sessione
<Marco> l’ACL mantiene il dialogo aperto
<Marco> fai così casomai
<Marco> prova
<Marco> permetti le sessioni TCP estabilished
<Gianremo> mi pare un controsenso che il Cisco non usi l’spi anche per se..
<Gianremo> :\
<Gianremo> mhhhh
<Gianremo> mhhhh.
<Gianremo> anzi no. niente.
<Gianremo> in che senso?
<Gianremo> permi TCP any any esta?
<Marco> si, prova
<Marco> poi restringi
<Gianremo> eh no
<Gianremo> non va comunque
<Gianremo> dovrebbe essere la prima della lista
<Marco> si certo
<Marco> spostala
<Gianremo> un attimo che riscrivo la lista
<Marco> k
<Gianremo> elsewhere(config)#no int tun0
<Gianremo> guarda
<Gianremo> è rimasto così
<Gianremo> perchè c’è il DDNS attivo in quella int
<Gianremo> con il cursore in background
<Marco> si avevo capito
<Marco> cerca di contattare il server DynDNS
<Marco> DynDNS
<Marco> che non risponde
<Gianremo> pure quando abbatte l’intf?
<Gianremo> non ha senso
<Marco> si, penso che mandi il log out
<Gianremo> umh
<Gianremo> ah ok
<Gianremo> in effetti hai ragione.
<Gianremo> rimarrà attiva la connessione con delle KA
<Marco> secondo me chiude la sessione di aggiornamento
<Marco> del resto se vedi cè l’intervallo di update definito sul metodo
<Gianremo> l’ho messo a 10 secondi
<Marco> il problema è che il tuo router non parla con un DynDNS server
<Gianremo> per vedere subito l’output sul debug
<Gianremo> che non c’è..
<Gianremo> si ma la cosa strana è che non sale neanche senza ACL
<Gianremo> mi pare assurdo
<Marco> si per questo penso ad un’altra cosa
<Marco> che ti ho detto prima
<Marco> stai usando l’IP inspection per filtrare le half-opened connections
<Marco> ovvero sono regole anti SYN-Flood
<Gianremo> mh
<Gianremo> dovrei provare a disattivare l’spi
<Marco> è possibile che creino qualche problema
<Gianremo> si ma mi pare assurdo
<Gianremo> lol, regola spostata a prima.
<Marco> sono corrette per carità
<Gianremo> niente, timeout.
<Marco> passa?
<Gianremo> non passa
<Gianremo> almeno le regole, son corrette, si?
<Marco> si
<Gianremo> ok, grazie..
<Marco> ma mi avevi detto però prima che con la ACL tolta passava
<Gianremo> eccomi
<Gianremo> scusa
<Gianremo> ho provato a togliere l’SPI, mi ha resettato la nat table :P
<Marco> è normale
<Gianremo> si, passava senza
<Marco> ok
<Gianremo> aspetta un attimo
<Gianremo> torno subito
<Marco> k
<Gianremo> ok
<Gianremo> sono senza ACL e senza SPI
<Marco> dovrebbe andare, giusto?
<Gianremo> niente. LOL
<Marco> ok
<Marco> mi sembrava strano per le ACL comunque
<Gianremo> credo proprio che sia buggata l’IOS a questo punto
<Marco> fai un telnet sulla 80 a Google
<Gianremo> elsewhere(config-if)#IP DDNS u intel-homelinux-net
<Gianremo> elsewhere(config-if)#IP DDNS u h intel.homelinux.net
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> eh aspetta
<Gianremo> ns resolved intel.homelinux.net to 10.20.30.40
<Gianremo> non l’ha manco aggiornato
<Gianremo> mi fa rosicare che non debugghi niente.
<Marco> ascolta ma il router raggiunge il server DynDNS sulla 80?
<Gianremo> Sì, ora sì, anche Google
<Marco> ok
<Gianremo> però senza ACL ed SPI.
<Marco> ok
<Marco> configura come ti dicevo prima
<Marco> un dominio dyDNS.org
<Marco> qualsiasi a tua scelta
<Gianremo> ok
<Gianremo> Dns resolved qualcosa. DynDNS.org to 10.20.30.40
<Gianremo> vediamo se lo modifica
<Marco> ok
<Gianremo> background.
<Gianremo> che io a questo punto chiamerei vero e proprio crash
<Marco>
<Marco> ho trovato questo che è esattamente come l’ho configurato io
<Marco> interface Dialer1
<Marco> IP DDNS update hostname myCisco. DynDNS.org
<Marco> IP DDNS update DynDNS host members. DynDNS.org
<Gianremo> l’unica differenza è che io uso le variabili interne di IOS
<Marco> importante è l’host members.dyDNS.org
<Marco> riconfiguralo così come ti dice il tutorial
<Marco> è ad hoc per DynDNS
<Gianremo> rifaccio la conf
<Gianremo> vediamo
<Marco> io stacco
<Marco> vado a nanna
<Gianremo> ok
<Marco> fammi sapere come va
<Gianremo> ti ringrazio per la pazienza
<Gianremo> domani ti farò sapere
<Marco> figurati
<Gianremo> grazie mille
<Gianremo> sei un geniazzo
<Marco> io?
<Marco> ma dai
<Gianremo> eh sì
<Marco> per quanto riguarda la ACL comunque ti do qualche dritta su come configurarla
<Marco> mancano un po’ di cosette
<Gianremo> ok ok
<Marco> ci sentiamo domani
<Gianremo> grazie
<Marco> Notteee
<Gianremo> sera
<Marco> Com’è? Come va con il DDNS?
<Gianremo> non funziona
<Gianremo> ora faccio una ricerca
<Gianremo> sicuramente è buggata l’IOS
<Marco> ma hai seguito il tutorial?
<Marco> usando un dominio dyDNS.org?
<Marco> e disattivando ACL e CBAC?
<Gianremo> certo
<Marco> prova ad aggiornare IOS
<Marco> ma è molto strano
<Gianremo> è l’ultima disponibile per l’877
<Gianremo> no ma la cosa che mi fa più rabbia
<Gianremo> è che non ho materiale su cui fare debugging
<Gianremo> non debugga un accidente
<Marco> a me funziona perfettamente
<Marco> se usi comunque CBAC e ACL
<Marco> devi comunque usare una ACE che permette il traffico dalla 80 del server DynDNS verso il tuo router
<Gianremo> si lo so
<Gianremo> ma purtroppo non parte proprio
<Gianremo> mah
<Marco> si infatti
<Marco> prova ad usare una versione precendente di IOS
<Marco> che release hai caricato?
<Gianremo> un sec
<Gianremo> scusami, ero in cucina
<Gianremo> elsewhere>sh ver | s bin
<Gianremo> System image file is “flash:c870-advipservicesk9-mz.124-15.T1.bin”
<Gianremo> elsewhere>
<Marco> non è l’ultima
<Gianremo> ah no?
<Marco> c’è la 12.4.15T3
<Gianremo> un mese fa lo era
<Gianremo> in realtà, l’877 è nato con una IOS Security, l’advipservices l’ho messa io in seguito
<Marco> si, è in bundle con il router
<Marco> ma è wifi?
<Gianremo> no
…
<Gianremo> we :D
<Gianremo> era la IOS buggata :)
<Gianremo> ora pare che funzioni e debugghi pure
<Marco> ma LOL
<Gianremo> c’è solo una cosa che mi lascia perplesso
<Marco> avevamo voglia di impazzire
<Gianremo> eheh infatti
<Marco> dimmi
<Gianremo> con la T1, il ping sul NAS era sui 9ms.. ora con la nuova ios, è sui 15-16 O.o
<Gianremo> che tu sappia, applica payload/header aggiuntivi ai packs?
<Marco> chi il DDNS fa overhead? no assolutamente
<Marco> controlla la CPU
<Marco> il problema può essere un sovraccarico del processore
<Marco> CEF è attivo?
<Gianremo> si
<Gianremo> è attivo
<Marco> fai sh proc cpu
<Gianremo> il DDNS al momento è disabled
<Gianremo> 0%
<Marco> in uscita hai traffico?
<Gianremo> nono
<Gianremo> tutto flat
<Gianremo> :D
<Gianremo> argh, scusa… è pronto a pranzo
<Gianremo> torno subito
<Marco> ok a dopo
<Gianremo> bappe, a dopo
<Gianremo> sera
<Marco> ciao
<Gianremo> we n0r1z :D
<Gianremo> pensa, ho rimesso l’IOS precedente
<Gianremo> ho capito il problema del DDNS.
<Marco> cosa era?
<Gianremo> con debug IP DDNS attivo e term monitor attivo, ricordi che non mi stampava nulla via vty?
<Marco> si
<Gianremo> bene, secondo me, è un bug nella gestione della memoria, qualcosa su malloc o simili…
<Gianremo> perchè non appena mi ricollegavo via console
<Gianremo> dalla com1, per intenderci
<Gianremo> il DDNS andava avanti, e non si bloccava in background
<Gianremo> ora pare che, senza debug attivo, funzioni egregiamente
<Marco> logging monitor informational?
<Gianremo> no
<Gianremo> term monitor
<Marco> vado a cena
<Marco> a dopo
<Gianremo> buona cena
<Gianremo> [ora mi rimane da capire perchè, con due versioni di IOS differenti, il ping sull’ultima release è raddoppiato)
<Marco> tornato
<Federico> :)
<Marco> questo è strano effettivamente
<Marco> ma sul DDNS, che config hai usato?
<Gianremo> la classica
<Marco> quella con homelinux?
<Gianremo> y
<Marco> CBAC e ACL attivi?
<Gianremo> sì
<Gianremo> ho aperto giusto sull’IP del DNS di DynDNS porte >1023
<Gianremo> per il callback del 3way handshake
<Marco> si, del resto da router la sessione è stateless
<Marco> mentre dal PC è statefull
<Gianremo> come mai questa differenza?
<Gianremo> nella CCNP è spiegato?
<Marco> no, lo trovi nel CCSP
<Gianremo> ah ok
<Marco> è il funzionamento di CBAC
<Marco> attiva l’inspection per il traffico che entra dalla VLAN 1
<Gianremo> ma se ne frega di quello che entra nella WAN
<Marco> e crea un’apertura dinamica, modificando logicamente l’ACL applicata in IN su l’interfaccia Dialer 0
<Gianremo> sisi questo lo so
<Marco> tiene conto del sequencing dei pacchetti
<Gianremo> ACL dinamiche in ram
<Marco> esatto
<Marco> ma non solo
<Gianremo> appena finisce la sessione e/o timeoutta, le elimina
<Marco> controlla le sequenze TCP, e che il protocollo sia compilant alle specifiche RFC
<Gianremo> altrimenti lo scarta direttamente
<Marco> esatto
<Marco> quandi mi parlavi all’inizio
<Marco> pensavo che la connessione avvenisse attraverso l’inspection
<Marco> ma se parte dal router, Ú assolutamente stateless
<Gianremo> questo è ISCW, giusto?
<Gianremo> (argomento di esame, intendo)
<Marco> quindi blocca anche l’SYN/ACK
<Marco> che torna dal web server
<Marco> no
<Marco> questo lo trovi nell’esame SNRS
<Gianremo> ah ok..
<Gianremo> no sai perchè.. è SPIegato in un pdf..
<Marco> fatto a Luglio
<Gianremo> (pdf iscw)
<Gianremo> magari è solo un accenno, non è approfondito come nell’snrs
<Marco> si certo
<Marco> comunque CCSP Ú molto interessante
<Marco> SND
<Marco> SNRS
<Marco> SNPA
<Marco> IPS
<Marco> CSA
<Marco> io ho fatto questi
<Marco> sono 5 esami
<Marco> ci sono comunque altri esami a scelta
<Marco> come
<Marco> CSVPN
<Marco> MARS
<Marco> NAC
<Marco> praticamente dovrebbe essere 8 esami per sapere tutto
<Marco> comunque se non ricordo male
<Marco> poi definire un IP inspection router based
<Marco> su TCP e UDP
<Gianremo> mh.
<Gianremo> mi sono già spulciato tutto IP inspect
<Gianremo> non c’è niente a riguardo, da quanto ne so (poco :D)
<Marco> IP inspect name FW_CBAC TCP router-traffic
<Marco> router-traffic Enable inspection of sessions to/from the router
<Marco> esatto, ricordavo bene
<Marco> da provare comunque
<Gianremo> minchia
<Gianremo> sei un genio :D
<Gianremo> provo
<Marco> posso fare dei test comunque
<Gianremo> tnx!
<Marco> prova vediamo
<Gianremo> non ti disturbare
<Gianremo> :D
<Gianremo> cazzo, quella riga proprio non l’ho vista
<Gianremo> che peccato però
<Gianremo> c’è solo in TCP
<Gianremo> volevo specificare solo HTTPS e DNS
<Marco> c’è UDP però
<Gianremo> si si
<Marco> http è TCP
<Marco> controlli a livello trasporto
<Marco> che ti interessa del livello più alto?
<Marco> quello verifica le specs RFC
<Gianremo> eh si
<Gianremo> per non fargli controllare tutto
<Marco> si
<Gianremo> lo limitavo ad http e DNS
<Gianremo> comunque fa niente, sempre meglio di queste:
<Gianremo> permit UDP host 212.216.112.112 any gt 1023
<Gianremo> permit UDP host 212.216.172.62 any gt 1023
<Gianremo> remark ** http DynDNS query **
<Gianremo> permit TCP host 63.208.196.96 any gt 1023
<Gianremo> così non mi andava giu’
<Gianremo> proprio una soluzione sporca
<Marco> bruttissima direi
<Gianremo> eh
<Gianremo> non avevo visto quella funzioncina dell’SPI router based :D
<Gianremo> grazie mille
<Gianremo> ^_^
<Gianremo> ti offrirò una cena
<Gianremo> :D
<Marco> vedi se worka
<Gianremo> sì, un secondo
<Marco> tra l’altro nelle ACL non puoi filtrare per source port
<Marco> perchè potresti filtrare per source 80 dest any
<Gianremo> eh infatti
<Gianremo> (è brutta comunque)
<Marco> in modo da ricevere il SYN/ACK solo dalla sorgente web e basta
<Gianremo> meglio roba dinamica, con l’SPI imho
<Marco> PIX/ASA dove sei?
<Gianremo> 0, proprio.
<Marco> io non amo molto IOS Firewall
<Gianremo> mi sono certificato CCNA a luglio di quest’anno…
<Marco> figurati che nel mio router ho dovuto toglierlo
<Gianremo> però, l’istruttore ci diceva, che i pix sono molto indietro
<Gianremo> tipo l’output degli errori non è preciso
<Gianremo> sera Norsys
<Marco> LO SO questo
<Federico> Ciao Gianremo e Marco
<Marco> ma infatti upgradare a PIX oS 7.0 o 8.0 ha il suo perchè
<Federico> a proposito di PIX.. ora sono ufficialmente EOS
da 2-3 gg mi pare.. :)
<Marco> FINALMENTE
<Marco> comunque ormai nei progetti metto solo ASA
<Marco> da 1 anno e mezzo
<Gianremo> scusate, è pronta la cena
<Gianremo> Marco: non funzia, ceno e ci smanetto
<Marco> okok
<Gianremo> mangio, a dopo
…
<Gianremo> eccomi
<Gianremo> Marco, funziona, grazie..
<Marco> lavora?
<Marco> perfetto allora
<Marco> se ti serve altro aiuto fammi sapere
<Gianremo> grazie per la pazienza
<Gianremo> ora lo attivo anche su ICMP
<Gianremo> così posso pingare dal router
<Marco> hai semplicemente attivato la keywork router-traffic?
<Marco> keyword
<Gianremo> si si
<Gianremo> quante belle cose da sapere
