[Løst] Cisco 1841 - ny ruter i heimen

[toreae]

La inn gammelt IOS, og så nytt igjen. Og så alt av IPv6 konfigurasjon. Med samme ustabile resultat:

 

 

Ping statistics for 2001:7b8:3:1e::60:
Packets: Sent = 4248, Received = 3788, Lost = 460 (10% loss),
Approximate round trip times in milli-seconds:
Minimum = 16ms, Maximum = 125ms, Average = 34ms

http://ismyipv6working.com/ virker kanskje 50% av tiden. Er det rett og slett Telenor fiber som ikke har orden på sakene sine?

[toreae]

Har nå testet og testet, og foreløpig konklusjon er at det er Telenor fiber som er ustabile med IPv6. Ser ut som at jeg har forbindelse når lyset er på på toiletten deres. Ping virker mellom pcer og mellom ruter og pcer her, hel tiden. Men mot nettet er det av og på. Ser ut som det er ca 16 min av og 18 min på. Telenor er forøvrig bare nylig begynt med IPv6.

 

Har forøvrig denne prefixen: 2001:4640:XXXX::/48! Lover godt for framtiden.

 

Edit: rettet litt på tiden.

Edit: rettet litt på tiden, igjen. Kan ikke se at det er noe i ciscoen som skal gjøre dette. Kan heller ikke skjønne at telenor skulle gjøre noe slikt.

Endret 6. november 2014 av toreae

[toreae]

Oppdatering.

Var først oppe i dag og fikk leke med nettet helt alene. Med pc direkte på fiber-modemet fikk jeg pinget ipv6 over en time uten feil. Telenor er (foreløbig) frikjent. Merkelig problem forøvrig, fikk respons ganske nøyaktivt 1030 ganger (ca 1030 sekunder), og ingen respons ganske nøyaktivt 190 ganger (ca 950 sekunder). Og slik fortsatte det. Prøvdet oppsettet uten accesslistene (se under), og mye bedre. Men er ikke ferdig testet ennå. Noe gikk feil etter litt over en time. Men fikk uansett Telenors DNS-servere ut av dette.

 

For å teste forskjellig oppsett har jeg lastet ned et program, Hot keyboard Pro. Med det kan man spille inn muse-bevegelser og trykk, og tastetrykk. Dette kan man etterpå spille av, med hurtigtast. En og en kommando, eller så mange man vil. Og man kan redigere listen, eks. ta vekk unødvendige musebevegelser og kutte tid. Veldig nyttigt.

 

Har lagret kommandoene (?) i libreoffice Calc (excel). Så er det bare rediger i Calc, og å la Hot Keybord Pro copy-past alt til SSH-programmet. Raskt og effektivt. En no liste som sletter alt, og flere lister for å teste. Men begynte å slite utover ettermiddagen med at jeg ikke fikk pinget lengre. Og det viste seg tilslutt at jeg var for effektiv, mere enn en kommando i sekundet, og ingenting virket! Selv om sh run viste nøyaktivt det samme. Har nå stilt inn på litt over 5 sek pr kommando, og dette hastighetsproblemet ser ut til å være løst.

 

Tilbake til accesslistene, dette er vel det jeg har kalt for basic firewall og bør vel være med? Korrigert slik at alt virker selvfølgelig?

 

firewall(config)#ipv6 access-list wan-in
firewall(config-ipv6-acl)#permit icmp any any
firewall(config-ipv6-acl)#sequence 30 permit tcp any any
firewall(config-ipv6-acl)#sequence 110 permit udp any any eq 546
firewall(config-ipv6-acl)#permit ipv6 any any
firewall(config-ipv6-acl)#exit

firewall(config)#ipv6 access-list wan-out
firewall(config-ipv6-acl)#permit icmp any any
firewall(config-ipv6-acl)#sequence 110 permit tcp any any
firewall(config-ipv6-acl)#permit udp any any
firewall(config-ipv6-acl)#permit ipv6 any any

firewall(config-ipv6-acl)#exit

 

Og hva med disse?

 

firewall(config)#ipv6 inspect name STD6 udp
firewall(config)#ipv6 inspect name STD6 ftp
firewall(config)#ipv6 inspect name STD6 icmp

 

se forøvrig post #137

 

 

Og der stoppet det å virke, Nå etter ca 2900 ping med svar.

[toreae]

Kjører pr nå med dette oppsettet for ipv6:

 

conf t
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool ComcastPool
dns-server 2001:4600:4:1fff::53
dns-server 2001:4600:4:fff::53
prefix-delegation pool comcast-ipv6
exit
interface FastEthernet0/0
ipv6 address dhcp
ipv6 address autoconfig default
ipv6 enable
ipv6 verify unicast reverse-path
ipv6 dhcp client pd comcast-ipv6
exit
interface FastEthernet0/1.10
ipv6 address comcast-ipv6 ::1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server ComcastPool
exit
exit
wr

Når jeg mister forbindelsen, får jeg den tilbake med:
conf t
interface FastEthernet0/0
ipv6 dhcp client pd comcast-ipv6
exit
exit
wr

Har ikke tatt tiden, men tror det er ca 50min med forbindelse. Hva er det jeg mangler eller gjør feil?

[toreae]

Har nå fått hjemmenettverket mitt til å virke noen lunde. Ble riktig nok ikke ferdig til Jul, men det er mange fridager i Julen. "Ferdig" blir jeg vel sikkert aldri.

IPv6 ble en hodepine. Jeg tror at det som utløste problemet er at det både skal være ha tildelt adresse til interface FastEthernet0/0 og et prefix. Så jeg endte opp med å ikke få tildelt adresse til interface FastEthernet0/0. Snakket med Telenor fiber om dette. Noe som endte opp i at Telenor slo av ipv6 til meg. Uten at jeg overhodet ba om dette. Dette skjedde tidlig i november, tidlig i desember forsvandt ipv6, og etter mye masing har det ennå ikke kommet tilbake.

 

Uansett, ipv6 oppsett som virket!

 

 

ipv6 unicast-routing
ipv6 cef
ipv6 multicast-routing

interface FastEthernet0/0
ipv6 enable
ipv6 nd autoconfig prefix
ipv6 nd autoconfig default-route
ipv6 dhcp client pd Telenor-ipv6
ipv6 traffic-filter v6inbound in
ipv6 traffic-filter v6outbound out

interface FastEthernet0/1.10
ipv6 address Telenor-ipv6 ::1/64
ipv6 enable

ipv6 access-list v6inbound
evaluate v6reflect
permit udp any any eq 546
permit tcp any any established
permit udp any eq ntp any eq ntp
permit udp any eq domain any
permit icmp any any
deny ipv6 any any

ipv6 access-list v6outbound
permit icmp any any
permit ipv6 any any reflect v6reflect

 

 

 

 

Kjører i tilegg med 2 event, i tilfelle jeg mister ipv6. Disse skal sikker ikke være nødvendig, men dette hjalp litt på problemet.

 

event manager applet MONITOR-IPV6-DHCP-APP
event syslog pattern "Unexpected message type has arrived. Terminating the connection"
action 1.0 cli command "enable"
action 1.1 cli command "interface FastEthernet0/0"
action 1.2 cli command "ipv6 dhcp client pd Telenor-ipv6"
action 2.0 syslog priority debugging msg "Refreshed IPv6 DHCP PD lease1"

event manager applet MONITOR-IPV6-DHCP-APP2
event syslog pattern "LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down"
action 1.0 cli command "enable"
action 1.1 cli command "interface FastEthernet0/0"
action 1.2 cli command "ipv6 dhcp client pd Telenor-ipv6"
action 2.0 syslog priority debugging msg "Refreshed IPv6 DHCP PD lease2"

 

 

 

Kommer tilbake med andre ting.

 

Om noen oppdager feil eller har meninger, så bare kom med dem.

 

[toreae]

En av tingene jeg ville ha med fra starten, var muligheten for servere, primært filserver - Ftp. Etter mye leting fant jeg en linux distro som passet: Kuine.

Kuine kjører nå på en PC med 466Mhz Celeron II prossesor (tror jeg) med et strømforbruk på ca 30W. Mere en greit nok for litt eksprementering.

 

Kuine kjører i utgangspunktet rett fra CD. Jeg valgte å legge det over på harddisk. Kort installasjonsveiledning:

 

Formater hardisken i windows først, for å slette harddisken. Jeg vet ikke hvor nødvendig dette er, men jeg fant det som den lette, sikre løsningen.

 

Start opp PC med Kuine på CD-platen.

 

Velg 6, HD-USB Install. Selve installasjonen har jeg ikke trinn for trinn. Men bruk kun små bokstaver i navnet på serveren. Og installer Grub i root, ikke mbr.

 

Når installasjonen er ferdig, bruk webmin (ht*tps://ip.til.din.server/) for å rette tid og tidsone. Og gi passord til root, og nytt passord til admin, dette pga sikkerhet.

 

Ftpserveren (Proftpd) kan nå nåes med ft*p://ip.til.din.server/ (annonym innlogging.)

 

Konfigurasjonen til serveren kan nåes via webmin. Men endringen skjer ikke før man har omstartet proftpd. (Trykk ctrl-alt-F2 - logg inn -service proftpd restart)

Ctrl-alt-F1 og ctrl-alt-F2 veksler mellom Kuines "status skjerm" og consol (Om noen vil hjelpe med ordvalg.)

Ellers kan serveren nåes med SSH port 2222.

For å få "ikke åpen" plass på Ftp-serveren, i konsoll, kjør kommandoen:

adduser navn

Så blir man bedt om passord.

Du kan nå din plass med ft*p://navn:[email protected]/

På servern er da plassen for filene:

/home/ftp/(incoming/) for annonym (opplasting).

/home/navn/ for "navn".

 

 

Kuine kommer forøvrig også med webserver ht*tp://ip.til.din.server/:

It works! This is the default web page for this server. The web server software is running but no content has been added, yet.

Ikke noe jeg har brydd meg med ennå!!!

 

Derimot kjører Kuine med rsyslog. Og dermed syslog server for Cisco-en. (Ettersom jeg ikke har klart å lære vi eller noe tilsvarende, bruker jeg SSH Secure Shell, med SSH Secure File Transfer for å editere filer i linux.)

Editer /etc/rsyslog.conf:

 

Ta vekk # foran disse to linjene:

$ModLoad imudp
$UDPServerRun 514

 

Legg til disse.

# For syslog server
$template IpTemplate,"/var/log/%FROMHOST-IP%.log"
*.* ?IpTemplate

Lagre, og kjør kommandoen

service rsyslog restart

 

Brannmuren, turtlefirewall, må åpnes. Editer /etc/turtlefirewall/fw.xml

I linjen:

<rule src="ZExterna" dst="FIREWALL" service="ssh2,snmp" description="services"/>

Endres til

<rule src="ZExterna" dst="FIREWALL" service="ssh2,snmp,syslog" description="services"/>

 

Lagre, og kjør kommandoen

service turtlefirewall restart

 

Legg til følgene i Cisco-en

 

logging source-interface FastEthernet0/1.20
logging host 192.168.20.2

 

Dette skal være alt. Men kjører med en litt annen konfigurasjon selv, fordi jeg ikke fant ut av alt med en gang.

 

Har også tenkt å lage en egen partisjon for anonym ftp, for å hindre at uønskede gjester legger beslag på hele disken.

 

Ny edit, sjekket ut et par ting og slettet spoiler.

Edit: tar med et par ting:

 

Innlogging på FTP er tregt, for å øke hastigheten. Logg in på webmin. Gå til Servers > ProFTPD > Networking options og gjør følgende forandring:

Do reverse DNS lookups of client addresses? Forandres til No
Lookup remote Ident usernames? Forandres til No

 

Innlogging SSH er også treigt, har ingen løsning.

 

Munin (Performance Monitor?) henger/lager problemer. Jeg løser dette foreløbig med service munin-node stop.

 

 

Dette er hvordan jeg gjordet det. Det er sikkert andre - bedre - lettere løsninger. Er selvfølgelig åpen for ordvalg og spørsmål osv

Endret 4. januar 2015 av toreae

[toreae]

Har også lagt til Dynamic DNS i Ciscoen. Man må selvfølgelig ordnet med en tilbyder av slikt først. Jeg har hos noip.

 

ip ddns update method noip
interval maximum 0 1 0 0
interval minimum 0 1 0 0
HTTP
add h*ttp://bruker:[email protected]/nic/update?hostname=min.host.org&myip=
remove h*ttp://bruker:[email protected]/nic/update?hostname=min.host.org&myip=

(Har lagt til en * for å ungå at linjene skal vises som linker. Gjelder poster før også)

 

interval maximum 0 1 0 0, interval minimum 0 1 0 0 gir maks = min, 1 time mellom hver oppdatering

Alt etter add (remove) er avhengig av hvilken tilbyder du har. At det ikke står noe etter myip= betyr at Den bruker wan-addressen til ruteren.

 

Jeg har satt domain name i Ciscoen: ip domain name xxxx.yyyy. Og selvfølgelig: hostname firewall

En bug eller hva det er, er at Ciscoen også prøver å oppdater med firewall.xxxx.yyyy.

 

[toreae]

Og her følger en del rot. Da jeg hadde tatt Ciscoen i bruk innstallerte jeg brannmur på denne. Dette med Cisco Configuration Professional programmet. Men alt var ikke ferdig, så dette er nok litt rotete for den som kan det. Her har jeg (tror jeg) tatt med det som skal til for å åpne porter. I tilegg til rotet, er ikke jeg den beste til å forklare, men:

 

Nettverk er del i 3 soner: wan, lan og dmz. Jeg har kommentert med fet skrift retning på oppstart av trafikk. Har også tatt vekk litt portnummer og IP-er og byttet med AAAA XXX osv.

ip port-map user-protocol--1 port tcp AAAA Fra wan til lan
ip port-map user-protocol--2 port tcp 2222 Fra lan til dmz

class-map type inspect match-all sdm-nat-user-protocol--1-1 Fra wan til lan
match access-group 101
match protocol user-protocol--1

class-map type inspect match-any ccp-dmz-protocols Til dmz
match protocol ftp Fra lan og wan til dmz
match protocol http Fra lan til dmz
match protocol https Fra lan til dmz
match protocol ssh Fra lan til dmz, kanskje ikke nødvendig?
match protocol user-protocol--2 Fra lan til dmz

class-map type inspect match-all ccp-dmz-traffic Servere
match access-group name dmz-traffic
match class-map ccp-dmz-protocols

policy-map type inspect sdm-pol-NATOutsideToInside-1
class type inspect sdm-nat-user-protocol--1-1 Fra wan til lan
inspect

policy-map type inspect ccp-permit-dmzservice Servere
class type inspect ccp-dmz-traffic
inspect
class type inspect sdm-nat-user-protocol--1-1 Fra wan til lan
inspect

zone security in-zone lan
zone security out-zone wan
zone security dmz-zone dmz
zone-pair security ccp-zp-out-dmz source out-zone destination dmz-zone
service-policy type inspect ccp-permit-dmzservice
zone-pair security ccp-zp-out-self source out-zone destination self
service-policy type inspect ccp-permit
zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-NATOutsideToInside-1
zone-pair security ccp-zp-self-out source self destination out-zone
service-policy type inspect ccp-permit-icmpreply
zone-pair security ccp-zp-in-dmz source in-zone destination dmz-zone
service-policy type inspect ccp-permit-dmzservice
zone-pair security ccp-zp-in-out source in-zone destination out-zone
service-policy type inspect ccp-inspect

interface FastEthernet0/0 Wan
description WAN_LINK$FW_OUTSIDE$

interface FastEthernet0/1.10 Lan
description INSIDE_LAN$FW_INSIDE$
ip nat inside
ip virtual-reassembly in
zone-member security in-zone

interface FastEthernet0/1.20 Dmz
description INSIDE_SERVER$FW_DMZ$
ip nat inside
ip virtual-reassembly in
zone-member security dmz-zone

ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat pool INSIDE_SERVER 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 10 interface FastEthernet0/0 overload
ip nat inside source list 20 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.10.XX AAAA interface FastEthernet0/0 BBBB wan til lan
ip nat inside source static tcp 192.168.20.2 21 interface FastEthernet0/0 21 fra wan til dmz
ip nat inside source static tcp 192.168.10.0 2222 interface FastEthernet0/1.20 2222 fra lan til dmz

ip access-list extended FW-IN
remark CCP_ACL Category=16
permit tcp any any eq BBBB Fra wan til lan
permit tcp any any eq ftp Fra wan og lan til dmz
permit tcp any any eq 2222 Fra lan til dmz

ip access-list extended dmz-traffic Servere på dmz
remark CCP_ACL Category=1
permit ip any host 192.168.20.2
permit ip any host 192.168.20.3
permit ip any host 192.168.20.4

access-list 10 permit 192.168.10.0 0.0.0.255 Fra lan
access-list 20 permit 192.168.20.0 0.0.0.255 Fra dmz
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 192.168.20.0 0.0.0.255 any
access-list 101 remark CCP_ACL Category=0
access-list 101 permit ip any host 192.168.10.XX Fra wan til lan

 

Å bemerke: Fra wan til server(e) er det kun åpnet for ftp-trafikk.

 

Edit

Bug nummer 1 i brannmuren:

class-map type inspect http match-any ccp-http-blockparam
match request port-misuse im
match request port-misuse p2p
match req-resp protocol-violation Denne linjen lagde problem, med mange linjer loggen. Se forøvrig her. Utdrag:

 

 

I am by no means an expert; however I was having the same problem and found a solution that seems to work.
Using CCP go to:
Security -->C3PL -->Policy Map --> Application Inspection --> HTTP
Edit the "ccp-action-app-http" policy
Edit the "ccp-http-blockparam" class
Go to HTTP --> Req-Resp --> Protocol Violation
Uncheck Protocol Violation Box
Apply the changes to the router and you should be all set.
I know this will reduce this security of the firewall but there has to be some balance between security and usability.
If anyone has a better way to resolve the issue or knows why these sites are triggering a protocol violation please let me know.
Thanks,
Mike

 

 

Bug nummer 2. Som også endte opp i mange linjer i loggen. Når internett ble brukt til bl.a. å se video kom det mange meldinger som: FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-364099590 1500 bytes is out-of-order; expected seq:3930812226. Reason: TCP reassembly queue overflow - session osv

 

Denne linjen må fjernes (det var flere fordi jeg hadde eksprementert for å få bort feilen):

 

ip inspect tcp reassembly queue length 120

 

Fordi den passer ikke inn med sonebasert brannmur. Istedenfor

 

parameter-map type ooo global
tcp reassembly timeout 20
tcp reassembly queue length 1024
tcp reassembly memory limit 2048
tcp reassembly alarm on

 

Gibson Research viser alt grønnt, uten port 21.

 

 

Spørsmål eller kommentarer?

 

 

 

Endret 4. januar 2015 av toreae

[toreae]

Etter mye om og men med Telenor fiber anngående ipv6, fikk jeg følgende sms:

 

Hei. Beklager sent svar. Årsaken til at IPv6 ikk fungerer på din aksess er at sentralen ikke støtter tjenesten, selv om den har gjort det pået tidligere tidspunkt. Vi jobber med leverandør for å få aktivert igjen, men kan dessverre ikke si noe når dette vil skje. Mvh Telenor.

**********************

Anngående ftp serveren (Kuine linux). Den er som standard satt opp slik at man kan se hele filsystemet. Den mulighet bør man selvfølgelig ta vekk. Burde selvfølgelig ikke ligge som standard heller.

 

 

Hjertelig takk til alle som har hjelpt til underveis.