sabato, Febbraio 27, 2021

Cisco 877, DynDNS, debug ip ddns, tun0

AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Gianremo> domanda: avete la più pallida idea del perchè DDNS non sale su un 877?
<Gianremo> quando è settato, l’interfaccia ci mette tempo ad andare in “sh” o “no sh”… quasi come se la CPU andasse overload
<Marco> ti succede solo quando attivi DDNS?
<Gianremo> sì
<Marco> mi fai un debug IP dDNS update?
<Marco> durante la fase di update?
<Gianremo> eh magari
<Marco> che servizio DDNS usi?
<Gianremo> non debugga niente :)
<Gianremo> mi comincia a puzzare di IOS buggata
<Gianremo> uso DynDNS
<Marco> lo stesso che uso io
<Marco> mai avuto questi problemi
<Marco> ma è strano che non debugga
<Gianremo> vorrei almeno arrivare a capire il perchè.
<Gianremo> ovviamente “term mon” e “debug ip dDNS u”
<Marco> si certo
<Marco> passami la config del DDNS
<Marco> magari la guardo un attimo
<Gianremo> ho provato a disattivare anche l’ACL in ingresso sulla dialer, pensando che non facesse l’inspect
<Gianremo> ma nada
<Gianremo> un secondo
<Gianremo> elsewhere#sh run | s dDNS
<Gianremo> ip dDNS update method intel-homelinux-net
<Gianremo> HTTP
<Gianremo> add http://intel87:[email protected] DynDNS.org/nic/update?system= DynDNS&hostname=<h>&myip=<a>
<Gianremo> interval maximum 0 0 0 10
<Gianremo> elsewhere#
<Gianremo> ovviamente, i comandi sotto l’intf ora sono disattivati
<Gianremo> perciò non compaiono nella running
<Gianremo> comunque
<Gianremo> int tun0 (intf di prova, per non tirar giù la connessione)
<Gianremo> ip dDNS u intel-homelinux-net
<Gianremo> ip dDNS u h intel.homelinux.net
<Marco> int tun0 che IP ha?
<Marco> pubblico o privato?
<Gianremo> un IP a caso
<Gianremo> 60.60.60.60
<Gianremo> /24
<Marco> mmhh, una cosa
<Marco> quando configuri il DDNS sull’interfaccia TUN0, cosa succede esattamente?
<Marco> si blocca il router?
<Gianremo> assolutamente niente
<Gianremo> però se vado a fare “no sh” l’interfaccia ci mette 5 minuti a salire
<Gianremo> vedo il cursore che va in background
<Marco> penso perchè non riceva risposta dal DDNS Server
<Gianremo> si l’ho pensato anche io
<Marco> e va in time out
<Gianremo> esatto, stesso mio ragionamento
<Gianremo> ho aperto il mondo
<Gianremo> ma nada.
<Marco> del resto gli stai mandando un IP non ruotato
<Gianremo> umh.
<Gianremo> ma non credo, perchè: http://intel87:[email protected] DynDNS.org/nic/update?system= DynDNS&hostname=mio_host&myip=IP_RANDOM
<Gianremo> così, a mano, funziona
<Marco> dici se passi l’URL direttamente da Web
<Gianremo> sì sì
<Gianremo> ma scusa, stessa cosa dovrebbe farlo anche lui
<Gianremo> usa HTTP…
<Marco> ovvio
<Marco> non è un problema di ACL o di CBAC
<Marco> puoi fare la stessa prova su un interfaccia fisica
<Marco> tipo la dialer?
<Marco> se sei in PPPoA
<Marco> o PPPoE
<Gianremo> si, sono in PPPoA
<Marco> prova un attimo
<Gianremo> ho pensato anche io, che probabilmente non gli piaceva l’intf virtuale, e provai sulla dialer
<Gianremo> ma il debug non parte comunque
<Marco> il debug non parte perchè non sta funzionando il servizio DDNS
<Gianremo> eh, ma a me pare correttamente configurato
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> hai dato a intel.homelinux.net il nome del URL
<Marco> e lo stesso nome al method?
<Gianremo> sì
<Gianremo> [23:28] IP DDNS u intel-homelinux-net
<Gianremo> [23:28] IP DDNS u h intel.homelinux.net
<Gianremo> IP DDNS update method intel-homelinux-net
<Marco> IP DDNS update intel-homelinux-net host intel-homelinux-net
<Marco> dovrebbe essere così
<Gianremo> elsewhere(config-if)#IP DDNS u?
<Gianremo> WORD Method name
<Gianremo> hostname Dynamic DNS update hostname
<Gianremo> il comando l’ho applicato correttamente
<Gianremo> sia con il nome del metodo, sia del DNS
<Marco> sisi ho visto
<Gianremo> mh, però, aspetta
<Gianremo> il comando “host” non l’ho usato
<Gianremo> anche perchè sulla guida Cisco non era segnato come obbligatorio
<Gianremo> e non ne parlava
<Marco> ascolta, prova così
<Gianremo> non credo sia quello il problema
<Gianremo> dica
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> IP DDNS update hostname intel-homelinux-net
<Gianremo> ok
<Gianremo> provo :)
<Marco> aspetta, no
<Marco> IP DDNS update hostname intel.homelinux.net
<Marco> prova
<Gianremo> un secondo
<Gianremo> sto provando con l’aggiunta di “host”
<Gianremo> perchè come hai detto prima, è il metodo classico che avevo già fatto e rifatto
<Gianremo> elsewhere#term mon
<Gianremo> elsewhere#debug IP DDNS u
<Gianremo> Dynamic DNS debugging is on
<Gianremo> elsewhere#
<Gianremo> mah, nemmeno l’ombra.
<Gianremo> elsewhere(config-if)#sh
<Gianremo> *Jan 30 00:03:58.219: DYNUPD: SWIF goingdown ‘Tunnel0’
<Gianremo> qui va in background per parecchio.
<Marco> ma hai fatto come ti ho detto?
<Gianremo> [23:46] <Marco> aspetta no
<Gianremo> [23:47] <Marco> IP DDNS update hostname intel.homelinux.net
<Gianremo> [23:48] <Marco> prova
<Gianremo> così l’avevo già fatto
<Marco> IP DDNS update (method) host members. DynDNS.org
<Marco> prima
<Gianremo> si, fatto anche quello
<Marco> una cosa
<Marco> il dominio intel.homelinux.net
<Marco> deve finire per DynDNS.org
<Gianremo> O_o
<Gianremo> dipende da quello? :|
<Marco> devi registrare un indirizzo con DynDNS.org
<Gianremo> homelinux.net è offerto da DynDNS
<Gianremo> ora provo..
<Gianremo> magari poi metto homelinux.net CNAME a DynDNS.org
<Marco> poi fai un alias
<Marco> ma intanto prova ad usare un dominio che finisca per DynDNS.org
<Gianremo> si ma
<Marco> crealo come test
<Gianremo> sisi, sto facendo
<Gianremo> però non avrebbe senso
<Gianremo> cioè, comunque il Cisco deve fare una semplice query http
<Gianremo> a lui cosa gli importa della fine del DNS?
<Marco> si ed in quella query deve specificare un indirizzo FQDN
<Gianremo> si appunto
<Marco> compreso il suffisso
<Gianremo> intel.homelinux.net è FQDN
<Marco> certo
<Marco> ma non sotto DynDNS.org
<Gianremo> boh, ora provo
<Gianremo> intanto disattivo l’ACL
<Gianremo> perchè l’SPI funzia per la LAN
<Gianremo> ma per il router in sè, non và
<Marco> l’ACL non dovrebbe influire
<Marco> visto che la richiesta HTTP parte dal tuo router
<Gianremo> eh
<Gianremo> nella dialer0
<Gianremo> ho di default in deny
<Gianremo> quindi non va :)
<Marco> in IN o in OUT?
<Gianremo> IN
<Marco> deny any any è implicito in una ACL
<Marco> se è in IN
<Gianremo> sì
<Marco> vuol dire che se le sessioni arrivano dall’esterno blocca
<Gianremo> esatto
<Marco> non dal router verso l’esterno
<Gianremo> eh
<Gianremo> si ma..
<Marco> quindi se il tuo router inizia una sessione HTTP verso DynDNS
<Gianremo> le risposte di call-back del 3way handshaking?
<Gianremo> senza di quelle, timeoutta in ogni caso
<Marco> si ma la sessione è estabilished
<Marco> SYN
<Marco> ACK
<Marco> SYN ACN
<Marco> non ci sono altri SYN da parte del Web Server remoto
<Marco> a meno che parta un FIN
<Marco> e ti richiama lui
<Marco> con un SYN
<Marco> ma questo dovresti loggarlo dalle ACL per essere sicuro
<Gianremo> mh
<Gianremo> sono quasi sicuro che sia così
<Gianremo> perchè con firewall su
<Gianremo> il router non risolve.
<Gianremo> ma poi non capisco, perdonami
<Gianremo> con l’inspect attivo
<Marco> non risolve a livello DNS?
<Gianremo> non dovrebbe essere valido anche per il router locale?
<Gianremo> sì
<Gianremo> (gli IP sono settati)
<Marco> scusa
<Marco> ma hai attiva l’IP inspect su UDP?
<Gianremo> sì
<Marco> e TCP?
<Gianremo> anche
<Marco> ok
<Gianremo> attivato IN sulla VLAN1
<Marco> se fai un telnet alla 53 del tuo server DNS
<Marco> si apre il socket?
<Gianremo> no.
<Marco> mmhh
<Gianremo> però dalla LAN si
<Marco> un’altra cosa
<Marco> fai un telnet al server DynDNS sulla 80
<Marco> si apre?
<Marco> e poi magari mandagli la stringa GET HTTP
<Marco> per vedere se risponde il server web
<Gianremo> beh oddio, l’ho provato il link e funziona
<Gianremo> mi aggiorna il DNS..
<Marco> dal PC
<Marco> provalo dal router
<Gianremo> ok un attimo.
<Gianremo> elsewhere#telnet 212.216.112.112 53
<Gianremo> Trying 212.216.112.112, 53 …
<Gianremo> % Connection timed out; remote host not responding
<Gianremo> vedi
<Gianremo> questo è con firewall up
<Gianremo> sarà la stessa cosa per HTTP
<Marco> certo
<Marco> poi mi fai vedere che hai configurato con l’IP inspect
<Gianremo> ok
<Marco> prova anche con HTTP
<Marco> e presentati come source interface sulla dialer 0
<Marco> non su la VLAN 1
<Gianremo> timeout.
<Marco> prova su Google
<Gianremo> ti copio le regole su nopaste
<Gianremo> aspetta
<Marco> telnet www.google.it 80
<Gianremo> si, ma con il firewall up andrà sempre in timeout
<Gianremo> devo disattivarlo
<Marco> dammi le regole
<Marco> comunque anche disattivato mi dicevi che DDNS non va, giusto?
<Gianremo> http://nopaste.info/1fb7a27299.html
<Marco> fai prima, mandami la config del router
<Gianremo> si esatto, non va
<Gianremo> eh, non voglio darti troppo fastidio
<Gianremo> comunque ok..
<Marco> no, tranquillo
<Marco> mi intrippo con il troubleshooting
<Gianremo> :)
<Gianremo> un secondo
<Marco> k
<Marco> esamino….
<Gianremo> Dropping TCP Segment: seq:1528264671 1500 bytes is out-of-order; expected seq:1528240095. Reason: TCP reassembly queu
<Gianremo> mh
<Gianremo> non vorrei che fosse il reassembly..
<Marco> questo dovrebbe essere il virtual-reassembly
<Gianremo> sì
<Marco> sulla Dialer0
<Gianremo> esattamente
<Marco> prova ma mi sembra strano
<Marco> hai OUTBOUND disattivato al momento giusto?
<Gianremo> no, attivo
<Marco> k
<Gianremo> OUTSIDEACL è disattivo
<Marco> ok
<Marco> disattiva il virtual reassembly
<Marco> provato?
<Marco> così comunque riesci a fare telnet su la 80 del server DynDNS?
<Gianremo> no nemmeno.
<Marco> ma come
<Marco> ti presenti con la dialer 0?
<Gianremo> eh
<Gianremo> suppongo lo faccia di default
<Gianremo> perchè l’indirizzo è esterno alla mia LAN
<Marco> si certo
<Gianremo> e poi risolve
<Gianremo> quindi sì
<Marco> telnet www. DynDNS.org 80
<Marco> Trying www. DynDNS.org (63.208.196.100, 80)… Open
<Marco> GET HTTP
<Marco> Bad Request
<Marco> Your browser sent a request that this server could not understand.
<Marco>
<Marco> [Connection to www. DynDNS.org closed by foreign host]
<Marco> dovrebbe fare così
<Gianremo> in effetti lo fa.
<Gianremo> ma appena rimetto le ACL, no
<Gianremo> e comunque, secondo me, comincia a puzzare di bug
<Gianremo> almeno credo
<Marco> metti l’ACL
<Marco> e fammi un logging dei deny
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> *Jan 30 00:49:04.887: DYNUPD: SWIF comingup ‘Tunnel0′
<Gianremo> *Jan 30 00:49:06.887: %LINK-3-UPDOWN: Interface Tunnel0, changed state to up
<Gianremo> vedi
<Gianremo> ci mette una vita a salire
<Gianremo> come se si impallasse
<Marco> fammi un logging monitor informational
<Marco> e poi ter mon
<Marco> poi prova il telnet alla 80
<Marco> e mandami i logs
<Gianremo> un sec
<Gianremo> ammesso che escano i log
<Marco> aspetta
<Marco> no se non definisci il log sulle ACL
<Gianremo> definito
<Gianremo> un attimo
<Marco> ok
<Marco> almeno specifica in deny any any log-input
<Gianremo> Trying www. DynDNS.org (63.208.196.100, 80)…
<Gianremo> *Jan 30 00:54:14.071: %SEC-6-IPACCESSLOGP: list OUTSIDEACL denied TCP 63.208.196.100(80) -> 82.55.180.80(32770), 1 packet
<Gianremo> eccolo qui
<Gianremo> è il packet inspection  :)
<Gianremo> anche se attivo, il router non se lo calcola
<Marco> no
<Marco> è la ACL named
<Gianremo> si
<Gianremo> però dico
<Marco> il packet inspection fa altro
<Gianremo> è attivo anche l’inspect..
<Gianremo> dovrebbe permettermi quella connessione.
<Marco> si ma quello è statefull sulle sessioni
<Gianremo> come lo fa con LAN
<Marco> esatto
<Marco> non c’entra
<Gianremo> eh, scusa, non dovrebbe permettermi anche quella session?
<Marco> devi definire una ACE
<Marco> che specifica il dialogo permit IP any any estabilished
<Gianremo> quindi, l’inspection, viene valutata solo per le sessioni in LAN?
<Marco> esatto
<Marco> in ingresso
<Gianremo> … e all’occorrenza anche in uscita
<Gianremo> no?
<Marco> dalla LAN verso il Router
<Marco> no
<Gianremo> tipo se ho un server in LAN con deny implicit in uscita
<Marco> fa solo un controllo delle delle half-openend connection
<Gianremo> devo comunque permettere l’inspection, no?
<Marco> nessun protocol inspection sulla Dialer 0
<Marco> solo VLAN 1
<Gianremo> si, ma infatti è settato sulla VLAN1
<Gianremo> in ogni caso,
<Gianremo> perdonami, ma voglio capire bene  :-)
<Gianremo> l’spi
<Gianremo> in uscita, non va specificata?
<Gianremo> nel senso
<Marco> devi definire un ACE, che abiliti il dialogo estabilished a livello TCP
<Gianremo> LAN — router— cloud
<Marco> permit TCP any any estabilished
<Marco> sulla OUTSIDE ACL
<Gianremo> eh, ma così apro anche il mondo
<Marco> no
<Marco> o almeno
<Gianremo> secondo me, si
<Gianremo> provo
<Marco> permit TCP 80 any estabilished
<Gianremo> uso nmap per scannare
<Marco> se vedi ti fa il callback partendo dalla 80
<Gianremo> si, quello già provato
<Marco> ma la cosa strana è che inizia una sessione nuova
<Gianremo> avevo provato per i DNS
<Gianremo> permit UDP any eq 53 any
<Marco> no, è diverso
<Marco> quello permetti il SYN
<Marco> la estabilished avviene solo dopo l’ACK TCP
<Gianremo> eh
<Marco> qundi deve partire a sessione richiesta da parte tua
<Gianremo> eh appunto
<Gianremo> il SYN deve comunque partire
<Marco> si ma da te
<Gianremo> se fai te una richiesta
<Marco> non dal server remoto
<Gianremo> eh si
<Marco> una volta stabilita la sessione
<Marco> l’ACL mantiene il dialogo aperto
<Marco> fai così casomai
<Marco> prova
<Marco> permetti le sessioni TCP estabilished
<Gianremo> mi pare un controsenso che il Cisco non usi l’spi anche per se..
<Gianremo> :\
<Gianremo> mhhhh
<Gianremo> mhhhh.
<Gianremo> anzi no. niente.
<Gianremo> in che senso?
<Gianremo> permi TCP any any esta?
<Marco> si, prova
<Marco> poi restringi
<Gianremo> eh no
<Gianremo> non va comunque
<Gianremo> dovrebbe essere la prima della lista
<Marco> si certo
<Marco> spostala
<Gianremo> un attimo che riscrivo la lista
<Marco> k
<Gianremo> elsewhere(config)#no int tun0
<Gianremo> guarda
<Gianremo> è rimasto così
<Gianremo> perchè c’è il DDNS attivo in quella int
<Gianremo> con il cursore in background
<Marco> si avevo capito
<Marco> cerca di contattare il server DynDNS
<Marco> DynDNS
<Marco> che non risponde
<Gianremo> pure quando abbatte l’intf?
<Gianremo> non ha senso
<Marco> si, penso che mandi il log out
<Gianremo> umh
<Gianremo> ah ok
<Gianremo> in effetti hai ragione.
<Gianremo> rimarrà attiva la connessione con delle KA
<Marco> secondo me chiude la sessione di aggiornamento
<Marco> del resto se vedi cè l’intervallo di update definito sul metodo
<Gianremo> l’ho messo a 10 secondi
<Marco> il problema è che il tuo router non parla con un DynDNS server
<Gianremo> per vedere subito l’output sul debug
<Gianremo> che non c’è..
<Gianremo> si ma la cosa strana è che non sale neanche senza ACL
<Gianremo> mi pare assurdo
<Marco> si per questo penso ad un’altra cosa
<Marco> che ti ho detto prima
<Marco> stai usando l’IP inspection per filtrare le half-opened connections
<Marco> ovvero sono regole anti SYN-Flood
<Gianremo> mh
<Gianremo> dovrei provare a disattivare l’spi
<Marco> è possibile che creino qualche problema
<Gianremo> si ma mi pare assurdo
<Gianremo> lol, regola spostata a prima.
<Marco> sono corrette per carità
<Gianremo> niente, timeout.
<Marco> passa?
<Gianremo> non passa
<Gianremo> almeno le regole, son corrette, si?
<Marco> si
<Gianremo> ok, grazie..
<Marco> ma mi avevi detto però prima che con la ACL tolta passava
<Gianremo> eccomi
<Gianremo> scusa
<Gianremo> ho provato a togliere l’SPI, mi ha resettato la nat table :P
<Marco> è normale
<Gianremo> si, passava senza
<Marco> ok
<Gianremo> aspetta un attimo
<Gianremo> torno subito
<Marco> k
<Gianremo> ok
<Gianremo> sono senza ACL e senza SPI
<Marco> dovrebbe andare, giusto?
<Gianremo> niente. LOL
<Marco> ok
<Marco> mi sembrava strano per le ACL comunque
<Gianremo> credo proprio che sia buggata l’IOS a questo punto
<Marco> fai un telnet sulla 80 a Google
<Gianremo> elsewhere(config-if)#IP DDNS u intel-homelinux-net
<Gianremo> elsewhere(config-if)#IP DDNS u h intel.homelinux.net
<Gianremo> elsewhere(config-if)#no sh
<Gianremo> eh aspetta
<Gianremo> ns resolved intel.homelinux.net to 10.20.30.40
<Gianremo> non l’ha manco aggiornato
<Gianremo> mi fa rosicare che non debugghi niente.
<Marco> ascolta ma il router raggiunge il server DynDNS sulla 80?
<Gianremo> Sì, ora sì, anche Google
<Marco> ok
<Gianremo> però senza ACL ed SPI.
<Marco> ok
<Marco> configura come ti dicevo prima
<Marco> un dominio dyDNS.org
<Marco> qualsiasi a tua scelta
<Gianremo> ok
<Gianremo> Dns resolved qualcosa. DynDNS.org to 10.20.30.40
<Gianremo> vediamo se lo modifica
<Marco> ok
<Gianremo> background.
<Gianremo> che io a questo punto chiamerei vero e proprio crash
<Marco>
<Marco> ho trovato questo che è esattamente come l’ho configurato io
<Marco> interface Dialer1
<Marco> IP DDNS update hostname myCisco. DynDNS.org
<Marco> IP DDNS update DynDNS host members. DynDNS.org
<Gianremo> l’unica differenza è che io uso le variabili interne di IOS
<Marco> importante è l’host members.dyDNS.org
<Marco> riconfiguralo così come ti dice il tutorial
<Marco> è ad hoc per DynDNS
<Gianremo> rifaccio la conf
<Gianremo> vediamo
<Marco> io stacco
<Marco> vado a nanna
<Gianremo> ok
<Marco> fammi sapere come va
<Gianremo> ti ringrazio per la pazienza
<Gianremo> domani ti farò sapere
<Marco> figurati
<Gianremo> grazie mille
<Gianremo> sei un geniazzo
<Marco> io?
<Marco> ma dai
<Gianremo> eh sì
<Marco> per quanto riguarda la ACL comunque ti do qualche dritta su come configurarla
<Marco> mancano un po’ di cosette
<Gianremo> ok ok
<Marco> ci sentiamo domani
<Gianremo> grazie
<Marco> Notteee

<Gianremo> sera
<Marco> Com’è? Come va con il DDNS?
<Gianremo> non funziona
<Gianremo> ora faccio una ricerca
<Gianremo> sicuramente è buggata l’IOS
<Marco> ma hai seguito il tutorial?
<Marco> usando un dominio dyDNS.org?
<Marco> e disattivando ACL e CBAC?
<Gianremo> certo
<Marco> prova ad aggiornare IOS
<Marco> ma è molto strano
<Gianremo> è l’ultima disponibile per l’877
<Gianremo> no ma la cosa che mi fa più rabbia
<Gianremo> è che non ho materiale su cui fare debugging
<Gianremo> non debugga un accidente
<Marco> a me funziona perfettamente
<Marco> se usi comunque CBAC e ACL
<Marco> devi comunque usare una ACE che permette il traffico dalla 80 del server DynDNS verso il tuo router
<Gianremo> si lo so
<Gianremo> ma purtroppo non parte proprio
<Gianremo> mah
<Marco> si infatti
<Marco> prova ad usare una versione precendente di IOS
<Marco> che release hai caricato?
<Gianremo> un sec
<Gianremo> scusami, ero in cucina
<Gianremo> elsewhere>sh ver | s bin
<Gianremo> System image file is “flash:c870-advipservicesk9-mz.124-15.T1.bin”
<Gianremo> elsewhere>
<Marco> non è l’ultima
<Gianremo> ah no?
<Marco> c’è la 12.4.15T3
<Gianremo> un mese fa lo era
<Gianremo> in realtà, l’877 è nato con una IOS Security, l’advipservices l’ho messa io in seguito
<Marco> si, è in bundle con il router
<Marco> ma è wifi?
<Gianremo> no


<Gianremo> we :D
<Gianremo> era la IOS buggata  :)
<Gianremo> ora pare che funzioni e debugghi pure
<Marco> ma LOL
<Gianremo> c’è solo una cosa che mi lascia perplesso
<Marco> avevamo voglia di impazzire
<Gianremo> eheh infatti
<Marco> dimmi
<Gianremo> con la T1, il ping sul NAS era sui 9ms.. ora con la nuova ios, è sui 15-16 O.o
<Gianremo> che tu sappia, applica payload/header aggiuntivi ai packs?
<Marco> chi il DDNS fa overhead? no assolutamente
<Marco> controlla la CPU
<Marco> il problema può essere un sovraccarico del processore
<Marco> CEF è attivo?
<Gianremo> si
<Gianremo> è attivo
<Marco> fai sh proc cpu
<Gianremo> il DDNS al momento è disabled
<Gianremo> 0%
<Marco> in uscita hai traffico?
<Gianremo> nono
<Gianremo> tutto flat
<Gianremo> :D
<Gianremo> argh, scusa… è pronto a pranzo
<Gianremo> torno subito
<Marco> ok a dopo
<Gianremo> bappe, a dopo
<Gianremo> sera
<Marco> ciao
<Gianremo> we n0r1z :D
<Gianremo> pensa, ho rimesso l’IOS precedente
<Gianremo> ho capito il problema del DDNS.
<Marco> cosa era?
<Gianremo> con debug IP DDNS attivo e term monitor attivo, ricordi che non mi stampava nulla via vty?
<Marco> si
<Gianremo> bene, secondo me, è un bug nella gestione della memoria, qualcosa su malloc o simili…
<Gianremo> perchè non appena mi ricollegavo via console
<Gianremo> dalla com1, per intenderci
<Gianremo> il DDNS andava avanti, e non si bloccava in background
<Gianremo> ora pare che, senza debug attivo, funzioni egregiamente
<Marco> logging monitor informational?
<Gianremo> no
<Gianremo> term monitor
<Marco> vado a cena
<Marco> a dopo
<Gianremo> buona cena
<Gianremo> [ora mi rimane da capire perchè, con due versioni di IOS differenti, il ping sull’ultima release è raddoppiato)
<Marco> tornato
<Federico> :)
<Marco> questo è strano effettivamente
<Marco> ma sul DDNS, che config hai usato?
<Gianremo> la classica
<Marco> quella con homelinux?
<Gianremo> y
<Marco> CBAC e ACL attivi?
<Gianremo> sì
<Gianremo> ho aperto giusto sull’IP del DNS di DynDNS porte >1023
<Gianremo> per il callback del 3way handshake
<Marco> si, del resto da router la sessione è stateless
<Marco> mentre dal PC è statefull
<Gianremo> come mai questa differenza?
<Gianremo> nella CCNP è spiegato?
<Marco> no, lo trovi nel CCSP
<Gianremo> ah ok
<Marco> è il funzionamento di CBAC
<Marco> attiva l’inspection per il traffico che entra dalla VLAN 1
<Gianremo> ma se ne frega di quello che entra nella WAN
<Marco> e crea un’apertura dinamica, modificando logicamente l’ACL applicata in IN su l’interfaccia Dialer 0
<Gianremo> sisi questo lo so
<Marco> tiene conto del sequencing dei pacchetti
<Gianremo> ACL dinamiche in ram
<Marco> esatto
<Marco> ma non solo
<Gianremo> appena finisce la sessione e/o timeoutta, le elimina
<Marco> controlla le sequenze TCP, e che il protocollo sia compilant alle specifiche RFC
<Gianremo> altrimenti lo scarta direttamente
<Marco> esatto
<Marco> quandi mi parlavi all’inizio
<Marco> pensavo che la connessione avvenisse attraverso l’inspection
<Marco> ma se parte dal router, Ú assolutamente stateless
<Gianremo> questo è ISCW, giusto?
<Gianremo> (argomento di esame, intendo)
<Marco> quindi blocca anche l’SYN/ACK
<Marco> che torna dal web server
<Marco> no
<Marco> questo lo trovi nell’esame SNRS
<Gianremo> ah ok..
<Gianremo> no sai perchè.. è SPIegato in un pdf..
<Marco> fatto a Luglio
<Gianremo> (pdf iscw)
<Gianremo> magari è solo un accenno, non è approfondito come nell’snrs
<Marco> si certo
<Marco> comunque CCSP Ú molto interessante
<Marco> SND
<Marco> SNRS
<Marco> SNPA
<Marco> IPS
<Marco> CSA
<Marco> io ho fatto questi
<Marco> sono 5 esami
<Marco> ci sono comunque altri esami a scelta
<Marco> come
<Marco> CSVPN
<Marco> MARS
<Marco> NAC
<Marco> praticamente dovrebbe essere 8 esami per sapere tutto
<Marco> comunque se non ricordo male
<Marco> poi definire un IP inspection router based
<Marco> su TCP e UDP
<Gianremo> mh.
<Gianremo> mi sono già spulciato tutto IP inspect
<Gianremo> non c’è niente a riguardo, da quanto ne so (poco :D)
<Marco> IP inspect name FW_CBAC TCP router-traffic
<Marco> router-traffic Enable inspection of sessions to/from the router
<Marco> esatto, ricordavo bene
<Marco> da provare comunque
<Gianremo> minchia
<Gianremo> sei un genio :D
<Gianremo> provo
<Marco> posso fare dei test comunque
<Gianremo> tnx!
<Marco> prova vediamo
<Gianremo> non ti disturbare
<Gianremo> :D
<Gianremo> cazzo, quella riga proprio non l’ho vista
<Gianremo> che peccato però
<Gianremo> c’è solo in TCP
<Gianremo> volevo specificare solo HTTPS e DNS
<Marco> c’è UDP però
<Gianremo> si si
<Marco> http è TCP
<Marco> controlli a livello trasporto
<Marco> che ti interessa del livello più alto?
<Marco> quello verifica le specs RFC
<Gianremo> eh si
<Gianremo> per non fargli controllare tutto
<Marco> si
<Gianremo> lo limitavo ad http e DNS
<Gianremo> comunque fa niente, sempre meglio di queste:
<Gianremo> permit UDP host 212.216.112.112 any gt 1023
<Gianremo> permit UDP host 212.216.172.62 any gt 1023
<Gianremo> remark ** http DynDNS query **
<Gianremo> permit TCP host 63.208.196.96 any gt 1023
<Gianremo> così non mi andava giu’
<Gianremo> proprio una soluzione sporca
<Marco> bruttissima direi
<Gianremo> eh
<Gianremo> non avevo visto quella funzioncina dell’SPI router based :D
<Gianremo> grazie mille
<Gianremo> ^_^
<Gianremo> ti offrirò una cena
<Gianremo> :D
<Marco> vedi se worka
<Gianremo> sì, un secondo
<Marco> tra l’altro nelle ACL non puoi filtrare per source port
<Marco> perchè potresti filtrare per source 80 dest any
<Gianremo> eh infatti
<Gianremo> (è brutta comunque)
<Marco> in modo da ricevere il SYN/ACK solo dalla sorgente web e basta
<Gianremo> meglio roba dinamica, con l’SPI imho
<Marco> PIX/ASA dove sei?
<Gianremo> 0, proprio.
<Marco> io non amo molto IOS Firewall
<Gianremo> mi sono certificato CCNA a luglio di quest’anno…
<Marco> figurati che nel mio router ho dovuto toglierlo
<Gianremo> però, l’istruttore ci diceva, che i pix sono molto indietro
<Gianremo> tipo l’output degli errori non è preciso
<Gianremo> sera Norsys
<Marco> LO SO questo
<Federico> Ciao Gianremo e Marco
<Marco> ma infatti upgradare a PIX oS 7.0 o 8.0 ha il suo perchè
<Federico> a proposito di PIX.. ora sono ufficialmente EOS
da 2-3 gg mi pare..  :)
<Marco> FINALMENTE
<Marco> comunque ormai nei progetti metto solo ASA
<Marco> da 1 anno e mezzo
<Gianremo> scusate, è pronta la cena
<Gianremo> Marco: non funzia, ceno e ci smanetto
<Marco> okok
<Gianremo> mangio, a dopo

<Gianremo> eccomi
<Gianremo> Marco, funziona, grazie..
<Marco> lavora?
<Marco> perfetto allora
<Marco> se ti serve altro aiuto fammi sapere
<Gianremo> grazie per la pazienza
<Gianremo> ora lo attivo anche su ICMP
<Gianremo> così posso pingare dal router
<Marco> hai semplicemente attivato la keywork router-traffic?
<Marco> keyword
<Gianremo> si si
<Gianremo> quante belle cose da sapere

Articoli correlati

Le nuove ambizioni della privacy tra “user experience” e sostenibilità

Anche in ambito privacy la “user experience” comincia ad avere un ruolo rilevante. Quali aspetti della “user experience” si intrecciano con la privacy? Recenti iniziative...

Seguici!

4,593FansLike
2,185FollowersFollow

Noleggia una Tesla per il tuo evento IT!

Categorie