хороший пример шейпера для ISR Вы привели, а есть у кого-нибудь для Cisco ASA? и желательно для туннеля IPSec (cryptomap based VPN)?
что-то типа такого:
По поводу ICMP появилась не плохая идея. Нет ли у вас ассиметричной маршрутизации? Может быть ICMP echo отправляются в сторону LAN через один интерфейс, а возвращаются через другой?
ну я тоже так думаю (для сети 10.xx.111.0\24 настроен PAT через интерфейс ISP1), для клиентов VPN AnyConnect шлюз не подменяется, а добавляется маршрут только к сети 10.xx.111.0\24 — то есть к туннель идет не весь трафик, а только выбранный (когда весь туда льешь таких проблем нет) — но может есть решение :(?
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
было включено inspect icmp, включил inspect icmp error
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
10.x.181.4 это виртуальный адрес HSRP, но такие же сообщения получаем и по виртуальным IP в кластерах VRRP (Keepalived) :(
по второму вот более показательный пример:
4 Jan 19 2017 10:20:58 Denied ICMP type=0, from laddr 10.xx.111.11 on interface prod-infra to 10.11.12.7: no matching session
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
подскажите, пожалуйста, — сильный флуд на ASA из-за VRRP (Keepalived) & HSRP, вот такого плана сообщения:
4 Jan 18 2017 18:42:18 Received ARP response collision from 10.x.181.4/70ca.xxe5.dd4a on interface VLAN6 with existing ARP entry 10.x.181.4/70ca.xxe5.d16a
как исправить? оно конечно жить особо не мешает, просто лог забивает :(
а еще если подскажите — буду очень признателен! вот такие сообщения:
4 Jan 18 2017 18:37:25 No matching connection for ICMP error message: icmp src VLAN32:10.xx.32.52 dst VLAN111:10.xx.111.15 (type 3, code 3) on VLAN32 interface. Original IP payload: udp src 10.xx.111.15/53 dst 10.xx.32.52/54874.
и как мне кажется поэтому не работает пинг из удаленных сетей через Site-toSite VPN :( (там начинается сообщение No matching session… )
давайте уже к конкретике переходите! :) А так да, — молодцы!
Скрипты PowerShell интересно было бы посмотреть, конфиги HA failover cluster MySQL, Spacewalk…
да, сложно сделать резерв корневому маршрутизатору:
13.04.2015 в период времени с 22.00 до 23.50 (на самом деле с 20:40) на сети передачи данных SAFEDATA наблюдались неполадки корневого маршрутизатора.
… из переписки с менеджером одного из ДЦ в Москве. Сначала говорили что виноват экскаватор (реконструкция Волгоградки). Во время аварии BGP сессий не было видно ни на одном из 3-х(?) пирингов, которые анонсируют AS Safedata. Так что каналов вроде и не один, но это не спасает когда они в одном колодце или когда проблема на корневом маршрутизаторе.
извините, если не совсем по теме — а как (если вообще такое возможно) с помощью Veeam скопировать VM c ESXi на Hyper-V? Ну то есть чтобы типа миграция… а не -сохранил VM -> выгрузил виртуальные диски -> сконвертировал -> загрузил на таргет хост?
и еще по теме — Free версия позволяет делать бэкап включенной VM ?! или это ислючительно ограничение лицензии со стороны гипервизоров?!
а Zabbix умеет забирать другие журналы, кроме «Security» — была задачка забирать логи Kaspersky Endpoint Security, который пишет в свой собственный журнал… решили с помощью SolarWinds Event Log Forwarder for Windows. Тот же Snare не смогли заставить этот журнал забирать!
хм, — ничего не пони :) можете на конкретном примере, для Task Scheduler создать задание с необходимыми параметрами? думаю многие будут Вам благодарны, — я в первую очередь :) хотя бы в Вашу статью…
Ну этот холивар будет всегда — что правильнее использовать при настройке: ASDM или консоль… Имхо, при работе с сертификатами на ASA проще и удобнее использовать ASDM — нагляднее! Да и с сетевыми объектами и правилами файрволла тоже. Но это дело вкуса и личных предпочтений. Что касается именно настройки 2-х факторной аутентификации — добавьте замечания по существу, кто же возражать будет? Критика принимается :)
что-то типа такого:
будет работать?! где 10.30.0.0 255.255.0.0 — сети доступные через VPN Site-to-Site
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
по второму вот более показательный пример:
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
как исправить? оно конечно жить особо не мешает, просто лог забивает :(
а еще если подскажите — буду очень признателен! вот такие сообщения:
и как мне кажется поэтому не работает пинг из удаленных сетей через Site-toSite VPN :( (там начинается сообщение No matching session… )
вот не скажите — я, например, так и не смог запустить appliance на Oracle KVM\Xen
Скрипты PowerShell интересно было бы посмотреть, конфиги HA failover cluster MySQL, Spacewalk…
… из переписки с менеджером одного из ДЦ в Москве. Сначала говорили что виноват экскаватор (реконструкция Волгоградки). Во время аварии BGP сессий не было видно ни на одном из 3-х(?) пирингов, которые анонсируют AS Safedata. Так что каналов вроде и не один, но это не спасает когда они в одном колодце или когда проблема на корневом маршрутизаторе.
и еще по теме — Free версия позволяет делать бэкап включенной VM ?! или это ислючительно ограничение лицензии со стороны гипервизоров?!