Marno's blog » cisco

Connecting to a Cisco Router Console using Linux

Marno — Mon, 10 May 2010 21:31:53 +0000

Heb op mijn eigen workstation geen seriele aansluiting en de andere PC’s op mijn kamer hebben inmiddels allemaal elders een rol gekregen als server. Enige alternatief om een Cisco router te troubleshooten was een klein pctje waar ik nog Linux op had staan. Na even Googlen vond ik deze handleiding om eea aan de praat te krijgen, werkt perfect;

JMatrix – Connecting to a Cisco Router Console using Linux.

Lees ook de comments door voor het commando ‘minicom -s’ om je seriele poort te configureren!

Cisco Pix 501 – force VPN renegotiate

Marno — Mon, 01 Mar 2010 20:36:06 +0000

Cisco Pix 501 VPN issues : pix, cisco, sdm.

Cisco VPN tunnel failover – experts-exchange.com

Marno — Wed, 24 Feb 2010 23:34:44 +0000

Link met enkele interessante punten mbt VPN failover, ik heb sinds vandaag een 3e locatie en wil binnekort eens uitzoeken hoe eea failover is in te richten zodat als 1 VPN down gaat al het verkeer via de andere locatie alsnog op z’n bestemming aankomt.

via Cisco VPN tunnel failover : cisco, vpn, failover, tunnel.

Cisco PIX Logging: Debugging to Emergency | Cisco firewall | Tech-Recipes

Marno — Wed, 24 Feb 2010 15:41:44 +0000

Duidelijke informatie over het debuggen van Cisco PIX:

Cisco PIX Logging: Debugging to Emergency | Cisco firewall | Tech-Recipes.

Decrypt a Cisco VPN Password from PCF

Marno — Wed, 17 Feb 2010 13:52:21 +0000

Vandaag wilde een van onze klanten een PCF file decrypten om een VPN-connectie op te zetten vanaf een iPhone. Professioneel gezien supporten we dat natuurlijk niet maar de interesse was gewekt, volgende link gevonden;

Decrypt a Cisco VPN Password | corey gilmore’s blog.

Zelf nog niet geprobeerd maar heb van meerdere mensen gehoord dat het goed werkt !

Most Common L2L and Remote Access IPSec VPN Troubleshooting Solutions – Cisco Systems

Marno — Mon, 08 Feb 2010 15:28:34 +0000

Most Common L2L and Remote Access IPSec VPN Troubleshooting Solutions – Cisco Systems.

Top Ten Cisco IOS Tips – O’Reilly Media

Marno — Mon, 01 Feb 2010 22:44:12 +0000

Kwam net deze pagina tegen tijdens het inbouwen van mijn Cisco ASA in het netwerk;

Top Ten Cisco IOS Tips – O’Reilly Media.

Bevat een aantal nuttige tips, deze kende ik nog niet:

One of the classic mistakes (I know because I have done it myself a number of times) is to incorrectly update an access-list on an interface when you are connected to the device remotely. And suddenly, the Telnet connection is dropped to the router because of a forgotten list entry that would permit your incoming connection.

There is another way. When you are doing something tricky, you can use the following feature of the reload command, which causes the router to reboot in a certain number of minutes. For example, let’s tell the router to reboot in three minutes.
    MyRouter#reload in 3
        Reload scheduled in 3 minutes
    Proceed with reload? [confirm]y
Now, we have three minutes to do what we need to do. Let’s say we are applying an access-list to serial0.
    MyRouter#config terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    MyRouter(config)#interface serial0
    MyRouter(config-if)#ip access-group 110 in
    MyRouter(config-if)#^Z
    MyRouter#
We made the change and everything still works. (Well, at least our connection wasn’t dropped.) Now all we have to do cancel the impending reload with the following command:
    MyRouter#reload cancel
Or, if our access-list update did destroy our connection to the router, all we need to do is wait three minutes (plus the router’s reload time) before the router is back online. After the reload, the router uses the original saved configuration before our access-list change.

Erg handig dus!

Cisco ASA Workshop

Marno — Mon, 18 Jan 2010 20:08:12 +0000

Vandaag ben ik samen met een collega naar een workshop voor Cisco ASA’s geweest, een workshop van een dag waarin de features en configuratie-mogelijkheden van het apparaat worden besproken en je ze in de praktijk met je lab-partner kan testen. De verschillende VPN-mogelijkheden vond ik leuk om eens mee te werken, zo wist ik bijvoorbeeld nog niet van de mogelijkheid om een VPN aan te bieden over HTTPS. De gebruiker logt dan in op een HTTPS website en kan vanaf daar bij de benodigde bestanden en applicatie-servers. Het mooie aan deze oplossing is dat dit vanaf iedere PC met een browser werkt; ondersteuning van HTTPS is voldoende.

Cisco ASA 5505

Een mooie bijkomstigheid was dat we na afloop de Cisco ASA 5505 mee naar huis mochten nemen zodat we er thuis meer ervaring mee op kunnen doen. Helaas komt deze versie met een 10-user license op interne IP-adressen, dit betekend dat je dus maar 10 apparaten achter deze router kunt aansluiten. Dit is uiteraard te vergroten dmv een license-upgrade, maar dat is dan weer best prijzig… Ik ben nog een manier aan het bedenken om hem op een mooie en nuttige manier in mijn netwerk in te bouwen, wellicht een Web-VPN voor m’n NAS-bestanden oid… Al met al in ieder geval een erg leuke workshop, hopelijk kunnen we hierdoor meer op onze eigen afdeling afhandelen !

Cisco command line handigheidje

Marno — Sat, 21 Nov 2009 21:13:06 +0000

Op een Cisco router kun je door middel van ‘show run’ de draaiende configuratie bekijken, door middel van ‘grep’ en ‘begin’ kun je de output hiervan filteren en zoeken naar bijvoorbeeld alle access-list’s of naar alle verwijzingen naar een bepaald IP-adres;

pix501# show run | grep access-list
access-list inbound permit tcp any interface outside eq https
access-list inbound permit tcp any interface outside eq www
access-list inside_access_in deny tcp any any eq smtp
(…)

Door middel van ‘begin’ kun je de output laten starten vanaf de eerste match, bijvoorbeeld handig om een groepsdefinitie te bekijken;

pix501# show run | begin VPN-Traffic
object-group service VPN-Traffic tcp
port-object eq telnet
port-object eq www
port-object eq ssh
port-object eq domain
port-object eq https
access-list inbound permit tcp any interface outside eq https
access-list inbound permit tcp any interface outside eq www
access-list inside_access_in deny tcp any any eq smtp
(…)

Zoals je hierboven ziet gaat de output daarna wel gewoon verder met ‘de rest’. Andere opties die je achter ‘show run | ‘ kunt gebruiken zijn ‘include’ en ‘exclude’ die qua gebruik denk ik voor zich spreken. Op deze manier kun je gemakkelijk vanuit een console de delen uit een configuratie bekijken die je nodig hebt.