目前分類:網路相關 (12)

瀏覽方式: 標題列表 簡短摘要

基本上照著

http://cookbook.fortinet.com/ssl-vpn-using-web-and-tunnel-mode-54/

煮一煮就出來了

不過在寫SOP時,順便更新Client,結果和防毒發生一些不可預計的錯誤   (後來才肯定)

變成我的電腦VPN不上去, Log會寫

"your PC does not meet the host checking requirements set by the firewall. Please check that your OS version or antivirus and firewall applications are installed and running properly or you have the right network interface. "

簡單說就是你的電腦有問題啦~ 

Fortigate會寫 host checked failed

=接下來就是WTF的Trouble&shooting=

結論是,在cookbook裡的最後一段CLI

config vpn ssl web portal
  edit full-access
    set host-check av
  end

set這段拿掉就沒事了...

根據原廠論壇裡,鄉民討論的,這是個老問題了,無法明確的指出Forti在檢查Client的AV(anti-virus)出了什麼問題

導致他不給VPN (的確...一定要有防毒才安全...但這只是防君子不防小人的作法,我認為是多此一舉)

 

btw, L2TP目前無解....fuck off L2TP

 

 

文章標籤
Fortigate SSL VPN

KuoKevin 發表在 痞客邦 留言(1) 人氣()

▲top

1.準備好來源目的的資訊

2.準備好wireshark  

(config)#monitor session 1 source int fa0/1,Fa0/2 both

(config)#monitor session 1 destination int fa0/24

將Fa0/1,Fa0/2的流量copy一份到Fa0/24

both: 進出都要紀錄,不下也可以,預設是帶both  

※不帶both,也可以對端口設置傳送(tx),接收(rx)

 

3.設定好後確定是否設定正確

(config)#show monitor session 1

(config)#show monitor detail   (如果一台switch你有很多monitor session的話)

 

4.

(config)#show ip int bri

因為該port就沒有網路功能了

所以檢查destination port是否變成Status  UP 但 Protocol Down

 

5.用wireshark測試Fa0/24是否有流量產生     收工!

文章標籤
cisco mirror monitor switch

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

辦公室有台Ruckus R500  

平時就單純拿來上網,因為沒controller,所以也只能這樣

某天發現多了一個SSID   island-XXXXX 

 

未命名.png

訊號還異常的強,一查才發現竟然是Ruckus自己發的!  

查了一下KB,應該是Ruckus的bug   手動關閉就好了(懶的試更新這招)

SSH登入後

敲入

  set state wlan102 down
  set state wlan103 down

就立即生效了

其他討論可以參考

https://forums.ruckuswireless.com/ruckuswireless/topics/how-to-turn-off-mesh-recovery-island-xxxxxx-ssid-on-standalone-ap

==

後來發現一重開機就又跑出來了...或許沒save ? 

乾脆直接更新

從Ruckus官網 free註冊後

選好型號,直接download & 上傳即可   相當直覺化,而且版本不多! 不會搞的你亂七八糟

 

2016-04-11_112330.jpg

2016-04-11_112932.jpg

更新前後版本比較,可見Ruckus算是firmware寫的相當不錯的,版本不多,版號跳的也不多

==

最後的結果..

還是有Island的SSID產生....   網路KB也沒答案

我想應該是把AP當成Router用的結果   

它執意要去找到default gateway

但我又是用PPPoE...所以找不到的情況下就產生Island SSID了

 

 

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

基本中的基本...以免連上網都沒辦法._."

 

1.      MGT  port登入,預設IP:192.168.1.1  預設帳密: admin//admin
2.      NetworkVirtual Wires-移除預設值
3.      NetworkZones-新增兩個Zones “L3WAN”  “L3LAN”                                    
4.      NetworkInterfaces-選擇Wan(Untrust)介面: ex: ethernet1/2
設定Interface TypeLayer3
設定Virual Routedefault
設定Security ZoneL3WAN
paloalto.01   
設定WAN的固定IP
paloalto.02 
設定Management Profile (該介面允許的功能)
 paloalto.03
5.      同理,新增LAN Port,設定的IP即為連到PaloaltoLANIP
 
 
 
 
6.      NetworkVirtual RoutesDefault
  paloalto.04
Destination0.0.0.0/0
InterfaceWAN Port
Next HopWANGateway
  paloalto.05
7.      NetworkDHCP
 
  paloalto.06
 
8.      PoliciesSecurity-刪除預設policy
AddGeneralName
   SourceSource ZoneL3 Lan
   DestinationDestination ZoneL3 WAN
   ActionsAction SettingAllow
 paloalto.07  
9.      Policies-NAT
Add-General-Name
   -Original Packet
 paloalto.08 
   -Translated Packet

paloalto.09 
 
10.  點選右上的Commit,即完成設定
 paloalto.10

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

常用的Show指令

show switch

show version

top    (顯示CPU%)

show edp (附近是否有extreme設備)

show vlan

show fans

show power

show temp (溫度)

show config

show iproute

show log

show ports  (要按d 換下一頁,ESC離開...等)

history

 

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

常用的show指令

sh ver

sh process cpu sort

sh mem

sh flash:

sh buffer

sh ip int brief

sh int

sh log

sh env all

sh run

show his

sh inv

sh clock

sh ntp stat

sh ntp ass

sh cdp nei  (附近是否有cisco設備)

sh cdp nei det 

 

文章標籤
cisco

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

policy無法用滑鼠拖拉排順序(!!)

v5.0版

代理商建議先升級再說.. 

 

於是升到5.2.4  後就可以了! (前一台怎麼不會這樣 orz)

 

介面也是大躍進  讚

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

Junos真是...為了簡單的切vlan搞了一上午

接console  9600即可

預設帳密  root // 空白

一開始怎樣開啟都無法登入web畫面

查國外討論才發現要先 切vlan 並定義IP ! 

 

因為是有點舊的設備,不確定新版是否這樣

主要是參考

http://timmywork.blogspot.tw/2012/03/juniper.html

內容有一點不一樣,應該是原作者漏了,實作後調整如下

%cli //進入 cli 介面模式

>configure 或 >edit //進入特權模式

打完指令建議就commit一下...比較好抓錯誤
rollback 0 很好用!
 
#commit                                    //儲存設定
#commit check                         //儲存設定並檢查語法是否有錯誤
#rollback 0                                //回到running config,還沒commit的設定全部都會消失
#rollback 1                                //回到上一次commit設定

基本設定

#edit system //進入 system 目錄
#set host-name switch //設定主機名稱
#set root-authentication plain-text-password //設定 root 管理帳號密碼 (之後才能存檔)

#set services telnet                                        //啟動 Telnet 服務
#set services ssh                                           //啟動 SSH 服務
#set services web-management http port 80     //啟動 Web 服務 (建議加port)
#set time-zone Asia/Taipei                              //設定時區

 

 

新增使用者

#set login user (name) class super-user //設定使用者為超級己用者
#set login user (name) authentication plain-text-password (password)  //設定使用者密碼

設定 VLAN

#set vlans (name) vlan-id (id) //新增一個VLAN(name不能只有數字)
#set interfaces vlan unit (id) family inet address 192.168.1.254/24     //設定VLAN IP
#set vlans (name) l3-interface vlan.(id) //將此VLAN設為L3層
#set interface ge-0/0/0 unit 0 family ethernet-switching vlan members (id)    //將port加入VLAN
#set interface interface-range (name) member-range ge-0/0/0 to ge-0/0/23  //將多個port加入VLAN

==

基本上web就可以登入了

後續用web好作很多..

 

其他指令

#set routing-options static route 0.0.0.0/0 next-hop 192.168.1.254     //指定 DefaultGateway
#set routing-options static route 192.168.10.0/24 next-hop 192.168.1.254  //新增一筆靜態路由
#set interfaces me0 unit 0 family inet address 192.168.1.254            //指定管理介面 IP Address

# set interface ge-0/0/0 unit 0 family inet address.192.168.1.1/24         //設定ip
# delet interface ge-0/0/0 unit 0 family inet address.192.168.1.1/24      //刪除ip

 

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

#sh int gi1/0/27

GigabitEthernet0/8 is down, line protocol is down (err-disable)


檢查該埠狀態

#show interfaces gi1/0/27 status

Port Name Status Vlan Duplex Speed Type
Gi1/0/27 err-disabled 1 auto auto unsupported

檢查system log列出下列錯誤訊息

# show interfaces status err-disabled


g#sh log
%PHY-4-CHECK_SUM_FAILED: SFP EEPROM data check sum failed for SFP interface Gi1/0/27
00:05:07: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi1/0/27 has bad crc
00:05:07: %PM-4-ERR_DISABLE: gbic-invalid error detected on Gi1/0/27, putting Gi1/0/27 in err-disable state

解決方法:

(config)#service unsupported-transceiver
(config)#no errdisable detect cause gbic-invalid
g#reload

 

==

經驗是Cisco Switch用dlink Gbic不行,解除限制也不行,直到換一個副廠Cisco Gbic...

 

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

不同設備 port的定義也不太一樣,建議先看port叫什麼名字

 

tc2960#configure terminal

tc2960(config)#interface port-channel 24  (建立一個channel)

tc2960(config-if)#exit

tc2960(config)#int range gigabitEthernet 1/0/49-52  (有哪些port是在垓channel裡面)

tc2960(config-if-range)#channel-group 24 mode active (啟動)

 

4個port就組成一個Group

 

 

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

用Web設定DHCP後,會發現無法設定區段

這時要用console 登入

<HP>system-view
System View: return to User View with Ctrl+Z.

遮蔽某個IP
[HP]dhcp server forbidden-ip 172.16.70.1 

遮蔽某個區段
[HP]dhcp server forbidden-ip 172.16.70.151 172.17.70.254 

顯示遮蔽IP
[HP]display dhcp server forbidden-ip 

Global:
IP Range from 172.16.70.1 to 172.16.70.49
IP Range from 172.16.70.151 to 172.17.70.254

取消某個IP或區段
[HP]undo dhcp server forbidden-ip 

結束後記得save

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top

大部份HP Switch預設Web是關閉的(PoE除外)

 

先用Console進入系統(不用帳密)

 

1.設定登入帳號密碼

system-view

ip http enable

ip http port 80

local-user admin (設定登入帳號)

password simple 123456 (設定登入密碼)

authorization-attribute level 3 (設定登入權限3最高,0最低)

 

2.設定設備IP

system-view

[Sysname] interface vlan-interface 1 (此處可以直接設定您要的Vlan ID, Ex: 28)

[Sysname-VLAN-interface1] ip address 192.168.20.66 255.255.255.0

[Sysname-VLAN-interface1] quit


3.設定可以使用的服務

[Sysname-luser-admin] service-type telnet

[Sysname-luser-admin] service-type Web

4.最後記得 Save

 

完成! Web介面相對簡單操作多了

KuoKevin 發表在 痞客邦 留言(0) 人氣()

▲top