Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста как оптимизировать.

Добрый день!
При подключении выдаёт только 100. Кабель проверяла соединив ноутбук и коммутатор. (скорость гигабит).
В чём может быть дело ?

Добрый день.
Возможно, вопрос покажется глупым, просто нет понимания у меня почему так происходит.
Допустим есть 2 коммутатора L2, которые соединены между собой 2 линками, на которых поднят portchannel. Все работает. Теперь разбираем этот portchannel и вот тут возникает вопрос.
Если банально сделать no interface portchannel, то коммутатор убирает настройку channel-group с физических интерфейсов, но при этом переводит интерфейсы в даун. Объясните, почему так происходит, в чем заключается логика циски? Ведь физические интерфейсы остаются с нормальным конфигом, но почему-то переведенные циской в даун.
Если просто сначала снять ручками с физического интерфейса channel-group, а потом уже убирать interface portchannel, то тогда все работает и порт не падает.

Добрый день.

Настраиваю связку cisco L2TP + IPSec + radius + AD.
Соединение устанавливается, пользователь авторизуется через AD.
Чтобы не гонять весь трафик от клиентов через офис, хочу отдать маршруты до внутренних сетей и повесить ACL на пользователей.
Машруты отдаю через DHCP на циске:

ip dhcp pool L2TP_USERS
network 192.168.92.0 255.255.255.0
option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1

маршруты прописываются, трафик ходит.

Завожу в радиусе атрибут Cisco-AV-Pair:
ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1

Подключаюсь, acl применяется, а вот маршруты больше не прилетают.

Пните в нужную сторону.

ЗДравствуйте, есть файерволл ASA5506

Cisco Adaptive Security Appliance Software Version 9.6(4)6
Device Manager Version 7.9(1)151

Лицензии такие
Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 5              perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Disabled       perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Carrier                           : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 10             perpetual
Total VPN Peers                   : 12             perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
Shared License                    : Disabled       perpetual
Total TLS Proxy Sessions          : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Cluster                           : Disabled       perpetual

Пробовал через asdm настроить anyconnect vpn, все сделал по методичке, назначил порт 443, но он не поднимается, подключиться не получается. Все перепроверил. В свзи с этим вопрос, может
AnyConnect Premium Peers          : 2              perpetual
не достаточно лицензий?

Добрый день.
Хотелось поинтересоваться, на коммутаторе QTech 2910 при выводе лога (log buf) выдает лог с таймкодом от перезагрузки, что сильно затрудняет диагностику. Есть ли какая то возможность замены данного таймкода на обычное время коммутатора? Или только с калькулятором сидеть?

Здравствуйте! Офис находится на территории завода, в определённый момент(совпало с появлением соседей) Начались проблемы с Wifi сетью.
Соединение с Wifi сохраняется но трафик не идёт, причём эффект аналогичен как на зукселе(роутер который использовался как Wifi) так и на убикьюти(профильная точка доступа).

И так до тех пор пока не выдернешь и не воткнёшь в розетку обратно.
Такая ситуация может не проявиться за день или проявиться от одного до пяти раз.
В чём может быть проблема?

Не поднимается L2TP, подскажите, плиз, где рыть?

vpdn-group L2TP-TEST
request-dialin
protocol l2tp
pool-member 1
initiate-to ip 10.10.10.10
no l2tp tunnel authentication

crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
crypto isakmp key Mug135 address 10.10.10.10
!
!
crypto ipsec transform-set TRANSFORM ah-sha-hmac esp-3des esp-sha-hmac
mode transport
!
!
!
crypto map TEST 10 ipsec-isakmp
set peer 10.10.10.10
set transform-set TRANSFORM
match address L2TP_SA_DIALER1

interface GigabitEthernet0/0/0
ip address 20.20.20.20 255.255.255.128
ip nat outside
media-type rj45
negotiation auto
crypto map TEST
!

interface Dialer1
description L2TP client
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
ppp chap hostname smart
ppp chap password 0 Sg5890123
no cdp enable
ip virtual-reassembly

ip access-list extended L2TP_SA_DIALER1
permit udp any host 10.10.10.10 eq 1701

dialer-list 1 protocol ip permit

sh vpdn session
%No active L2TP tunnels

Здравствуйте Товарищи!

Помогите советом, как правильно реализуется такая задача:
У нас несколько офисов, и в каждом для wi-fi используем тарелки UniFi. Офисы соединены с центральным туннелями OpenVPN. Но как я понял, тарелки эти анонсируют себя броадкастом для нахождения их контроллером (у нас пока в этой роли просто сервак с установленным ПО), и за тоннелем он их конечно не видит.

Подскажите пожалуйста, как в этой ситуации все точки доступа свести на один контроллер?

Прошу помощи в решении такой проблемы, есть Cisco 1841 + HWIC-4ESW и интернет от Ростелекома. К порту fa0/0 приходит интернет, порт fa 0/1 подключен к свичу, соединение с интернетом через PPPOE. Хочу к порту HWIC-4ESW подключить приставку, но не могу разобраться как это реализовать...

Всем привет!
Имеются в наличии два коммутатора HP FlexNetwork 5130. Есть необходимость объединить их в стек. Имеющаяся инфа в инете не очень помогла в данном вопросе.
Подскажите как это сделать, может кто сталкивался.

Всем доброго дня!
Уже неделю мучаюсь с подключением по VPN. перелопатил все что есть.
Проблема следующая: впн сервер на ASA поднят, клиенты подключаются но не могут получить доступ (пинг) ко внутренним сетям. прошу подсказать где дальше копать. ниже выкладываю ран. с Уважением.

ASA# sh run access-list
access-list new_vpn_splitTunnelAcl standard permit 10.16.96.0 255.255.240.0
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq https
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq www
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq 8080
access-list vpn extended permit tcp any 172.0.0.0 255.255.255.0 eq www
access-list vpn extended permit object-group DM_INLINE_SERVICE_1 any 172.0.0.0 255.255.255.0
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit tcp any4 any eq www
access-list 101 extended permit tcp any4 any eq https

ASA# sh run access-group
access-group 101 global
access-group vpn in interface outside

ASA# sh run
: Saved
:
ASA Version 9.1(2)
!
hostname ASA
enable password t6DNkLwOF04b9D28 level 1 encrypted
enable password Mh4yDZluxaOR/gbd level 10 encrypted
enable password XejxZFfyt2wxqfff encrypted
names
ip local pool vpn_pool_172 172.0.0.10-172.0.0.50 mask 255.255.255.0
!
interface GigabitEthernet0/0
description ~Connected to WAN~
nameif outside
security-level 0
ip address 85.132.57.90 255.255.255.240
!
interface GigabitEthernet0/1
description ~Connected to LAN~
nameif inside
security-level 100
ip address 10.16.96.3 255.255.240.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
management-only
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
!
ftp mode passive
object network NETWORK_OBJ_172.0.0.0_26
subnet 172.0.0.0 255.255.255.192
object network inside_network
subnet 10.16.96.0 255.255.240.0
description inside_network_obj
object network nat
subnet 172.0.0.0 255.255.255.0
object network vvv
subnet 172.0.0.0 255.255.255.0
object-group service DM_INLINE_SERVICE_1
service-object icmp echo-reply
service-object tcp destination eq https
access-list new_vpn_splitTunnelAcl standard permit 10.16.96.0 255.255.240.0
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq https
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq www
access-list vpn extended permit tcp 172.0.0.0 255.255.255.0 any eq 8080
access-list vpn extended permit tcp any 172.0.0.0 255.255.255.0 eq www
access-list vpn extended permit object-group DM_INLINE_SERVICE_1 any 172.0.0.0 255.255.255.0
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit tcp any4 any eq www
access-list 101 extended permit tcp any4 any eq https
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu outsidexdmx 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (any,any) source static NETWORK_OBJ_172.0.0.0_26 NETWORK_OBJ_172.0.0.0_26 destination static inside_network inside_network
access-group 101 global
route outside 0.0.0.0 0.0.0.0 85.132.57.25 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ikev1 policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto ikev1 policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto ikev1 policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy new_vpn internal
group-policy new_vpn attributes
dns-server value 8.8.8.8 4.4.2.2
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value new_vpn_splitTunnelAcl
default-domain value lrit.local
username test password P4ttSyrm33SV8TYp encrypted privilege 0
username test attributes
vpn-group-policy new_vpn
username farkhad password HYYYtMS64VvSFWDt encrypted privilege 15
tunnel-group new_vpn type remote-access
tunnel-group new_vpn general-attributes
address-pool vpn_pool_172
default-group-policy new_vpn
tunnel-group new_vpn ipsec-attributes
ikev1 pre-shared-key *****
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:4e40c4963269fce71dbacfc007dd8641
: end

Здравствуйте!
Пытаюсь поднять VPN сервер для удаленного доступа в локальную сеть.

!
version 16.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no platform punt-keepalive disable-kernel-core
!
hostname c4331
!
boot-start-marker
boot system flash bootflash:isr4300-universalk9.16.03.06.SPA.bin
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
!
aaa new-model
!
aaa group server radius ACCESS
server name ke-a0
!
aaa authentication login default local
aaa authentication ppp default group ACCESS
aaa authorization network default group ACCESS
!
aaa session-id common
clock timezone MSK 4 0
clock calendar-valid
!
subscriber templating
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication
!
license udi pid ISR4331/K9 sn FDO21481TU3
!
diagnostic bootup level minimal
spanning-tree extend system-id
!
redundancy
mode none
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key Zaq12wsx address 0.0.0.0         no-xauth
crypto isakmp keepalive 3600
!
crypto ipsec transform-set L2TP-TRSET esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map DYN-L2TP-MAP 10
set nat demux
set transform-set L2TP-TRSET
reverse-route
!
crypto map L2TP-MAP 10 ipsec-isakmp dynamic DYN-L2TP-MAP
!
interface Loopback1
ip address 192.168.119.1 255.255.255.0
!
interface GigabitEthernet0/0/0
description WAN
ip address xx.xx.xx.195 255.255.255.240
ip nat outside
negotiation auto
crypto map L2TP-MAP
!
interface GigabitEthernet0/0/1
description LAN
ip address 192.168.125.2 255.255.255.0
ip nat inside
negotiation auto
!
interface GigabitEthernet0/0/2
no ip address
negotiation auto
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address 192.168.125.1 255.255.255.0
negotiation auto
!
interface Virtual-Template1
ip unnumbered Loopback1
ip nat inside
peer default ip address pool PPTP_POOL
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2
ppp ipcp dns 192.168.125.231
!
ip local pool PPTP_POOL 192.168.119.10 192.168.119.99
ip nat inside source list 100 interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.193
!
access-list 100 permit ip 192.168.125.0 0.0.0.255 any
access-list 100 permit ip 192.168.119.0 0.0.0.255 any
!
radius server ke-a0
address ipv4 192.168.125.65 auth-port 1812 acct-port 1813
key 7 0735205D1F5B0E160F
!
control-plane
!
ntp server 192.168.125.231
wsma agent exec
!
wsma agent config
!
wsma agent filesys
!
wsma agent notify
!
end

Клиенты успешно подключаются, получают ip, но ни ЛС, ни внутренний интерфейс циски не пингуются. В локалке в качестве шлюза другой роутер, но путь к 192.168.119.0 он знает. Подскажите, в какую сторону смотреть.
Спасибо.

День добрый. Настраиваю 802.1x на коммутаторе cisco 2960. Radius настроен на NPS (2012 R2).
Вообщем суть проблемы в том, что не назначается vlan после аутентификации (Vlan Group:  N/A). Уже незнаю в какую сторону рыть.

Interface:  FastEthernet0/1
          MAC Address:  e0d5.5e5d.5099
           IP Address:  Unknown
            User-Name:  user@domain.local
               Status:  Authz Success
               Domain:  DATA
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
           Vlan Group:  N/A
      Session timeout:  3600s (local), Remaining: 3525s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  0AC80C6C00000037041F856A
      Acct Session ID:  0x00000042
               Handle:  0x1C000037

Runnable methods list:
       Method   State
       dot1x    Authc Success

Вот настройки порта

interface FastEthernet0/1
switchport mode access
authentication host-mode multi-domain
authentication open
authentication port-control auto
authentication periodic
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
spanning-tree portfast

Со стороны сервера NPS выставлены такие параметры:
Framed-MTU: 1344
Tunnel-Medium-Type: 802
Tunnel_Pvt-Group-ID: 5
Tunnel-Type: VLAN
Tunnel-Tag:5

Аутентификация настроена EAP (PEAP), сертификаты у всех есть.

Переехал в новую квартиру. 4 комнаты. Конфигурация Г образная. Решил сразу делать сеть по плинтусам.
Протянул везде кабель 6е сат. Чтобы через некоторое время 10гбит можно было (а вдруг).

Железа старого было много,поставил в 2 крайних комнатах 2.4 точки tplink (были).
А для кабинета купил за 500 рублей netis WF2780. там есть 5 ггц и порты гигабитные.

Собственно вопрос, 5 ггц на мощности 15 процентов имеет тот же радиус что и на 100 процентах. Дом панельнобетонный. И скорость выдает одинаковую по iperf порядка 230 мбит (ноутбук + каббелем стационарный компьютер.  Рабиус действия горадзо меньше чем у 2.4 (что естественно).
Есть возможность взять еще 2 такие точки. Но они не поддерживают wifi  roaming. Тк. все это железо работает врежиме бриджа, а роутер один, может имеет смысл их поставить и настроить один ssid и не париться? При переходе из комнаты в комнату будет переключаться на более мощную. И не покупать дорогие микротики или ubquity c роумингом?

Или это не по феншую и неправильно?

Здравствуйте, есть cisco 29XX, настройки для сессии ssh скидывать по тайм-ауту через 10 минут idle

видно, что пользователь висит в простое дольше и не скидывается

line vty 0 4
session-timeout 10
access-class adminhosts in
exec-timeout 360 0
session-disconnect-warning 300
transport preferred none
transport input ssh

WEST2921TLT#       show users all
    Line       User       Host(s)              Idle       Location
   0 con 0                                     00:00:00
   1 aux 0                                     00:00:00
   2 tty 2                                     00:00:00
388 vty 0     user1   idle                 00:10:58 192.168.85.55
*389 vty 1     user2   idle                 00:00:00 192.168.85.55
390 vty 2                                     00:00:00

Как бы все-таки скидывать неактивные сессии, иногда виснут, при внезапном пропадании сети у клиента (например при отключении от wifi).

Здравствуйте! Кто может выручить дампом прошивки SG300-28, убили напрочь аппарат...

Добрый день.
Поднят vpn сервер. https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...

Подскажите. Есть ли возможность зарезервировать ip адрес для одного подключения? Т.е. чтоб одному клиенту присваивался всегда один ip адрес?

Добрый день. Я студент 1 курса. В свободное время подрабатываю удаленно сисадмином docker итп плюс немного программирую.
Для профореентации купил mikrotik 750gl с гигабитными портами сделал на нем небольшую домашюю сеть, сервер за ним поставил итп, завел второго провайдера домой, настроил все это. Не фапаю на это, но изучение сетевых технологий помогает в работе.
Сейчас решил заменить mikrotik на cisco.
Вот тут и выскопила главная засада, моделей и модулей много.
Хочу купить недорого б\у (лучше дешево) маршрутизатор cisco для дома (поковыврятся, побаловаться) с гигабитными портами на замену mikrotik.
Что посоветуете?
Бюджет 5-6 тысяч рублей.

все доброго дня!
не могу уже который день победить одну заразу.
не подключается клиент за ASA к pptp серверу эквайринга, удалённый сервер работает, проверяли из других сетей, там все нормально..но там и другие fw стоят.
везде, во всех доках конфиг выглядит как
Код:    

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect pptp

у меня чёт не работает...
вот моё "кунгфу"

class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect http
  inspect ip-options
  inspect pptp
service-policy global_policy global

скажите куда смотреть??
со стороны fw, весь трафик с клиента открыл, со стороны сервера - то же открывал = не помогает.....

Доброго времени коллеги.
Снова обращаюсь за советом.
Имею в штате несколько микротиков, объединенных по GRE over IPSEC. адреса на каждый интерфейс назначаю из 30-й подсети, чтобы адреса не пресекались.
Настраиваю RIP. Тут все просто, добавляю подсети, одна это подсеть, которая смотрит в сторону туннелей, вторая в сторону локалки. Вот пример
[nops@MikroTik] > /routing rip network print
Flags: X - disabled
#   NETWORK
0   192.168.90.0/24
1   10.10.10.0/24
Где 10.10.10.0/24 это локальная подсеть, а 192.168.90.0/24 это подсеть для GRE

[nops@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   10.10.10.1/24      10.10.10.0      RBN-Bridge
1   ;;; Adress-INSIS_1
     79.172.45.30/27    79.172.45.0     ether1-INSIS
2   192.168.90.1/30    192.168.90.0    GRE_to_Prom
3   192.168.90.5/30    192.168.90.4    GRE_to_2706
4   192.168.90.9/30    192.168.90.8    GRE_to_UOZ
5   192.168.90.25/30   192.168.90.24   GRE_to_Koms

Так у меня были подключены и работали 3 маршрутизатора через туннели: GRE_to_Prom, GRE_to_2706 и GRE_to_Koms.
Вот:
[nops@MikroTik] > /routing rip route print
Flags: C - connect, S - static, R - rip, O - ospf, B - bgp
#   DST-ADDRESS        GATEWAY         FROM                METRIC TIMEOUT
0 R 10.10.10.0/24                                               1
1 R 10.110.100.0/24                    192.168.90.2             2 2m47s
2 R 10.110.101.0/24                    192.168.90.6             2 2m30s
3 R 10.110.102.0/24                    192.168.90.10            2 2m59s
4 R 192.168.90.0/30                                             1
5 R 192.168.90.4/30                                             1
6 R 192.168.90.8/30                                             1
7 R 192.168.90.12/30                   192.168.90.2             2 2m47s
8 R 192.168.90.16/30                   192.168.90.2             2 2m47s
9 R 192.168.90.20/30                   192.168.90.10            2 2m59s
10 R 192.168.90.24/30                                            1
11 R 192.168.183.0/24                   192.168.90.26            2 2m34s

Я добавил еще один туннель GRE_to_UOZ, подключил 3 туннеля, с каждой из железок, прописал все аналогично, то есть сети:
[nops@MikroTik] > /routing rip network print
Flags: X - disabled
#   NETWORK
0   10.110.102.0/24
1   192.168.90.0/24
[nops@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   10.110.102.1/24    10.110.102.0    bridge
1   94.230.130.45/24   94.230.130.0    ether1
2   192.168.90.10/30   192.168.90.8    GRE_to_Server
3   192.168.90.18/30   192.168.90.16   GRE_to_Prom
4   192.168.90.22/30   192.168.90.20   GRE_to_2706

То есть, схема как и везде на роутерах, на других. выделеные 30-е подсети для каждого туннеля, указание подсеете в настройках RIP и все взлетает... Но не на этой железке.
Как видно на удаленных роутера маршруты получаем и они прописываются:
3 R 10.110.102.0/24                    192.168.90.10            2 2m59s
А вот на самом роутере, ни один маршрут не получается и не прописывается.
Сдается мне, ч где-то что-то забыл, но не могу понять где и что. Пока прописал маршруты руками, но мне нужна динамика.

Прошу подсказать, где я что забыл, при настройке RIP.

В общем, другими словами. Прописываю на 4-м роутере все необходимые настройки, для анонса и получения маршрутов, то есть подсети снаружи и внутри, но маршруты не получаю.

День добрый,
задача есть локальная сеть 192.168.150.0/24 в ней gsmsip gateway 192.168.150.7 все это за микротиком с внешним LANIP 192.168.150.1 WANIP 123.123.123.123
у хостера стоит микротик WANIP 234.234.234.234 LANIP 11.0.0.1
за микротиком у хостера стоит сервер на базе PROXMOX(DEBIAN) LANIP 11.0.0.100 LinuxBridgeIP 12.0.0.1
внутри (PROXMOX-а)стоит виртуалка с астериском LANIP 12.0.0.101
Задача поднять VPN типа IPIP между микротиком(123.123.123.123)(на микротике просто создаи интерфейс IPIP) и астериском(12.0.0.101)
приэтом IP адресса в тунеле будут микротик 10.60.60.2 астериск 10.60.60.1
Proxmox натит все что надо в Астериск.
Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234) и что пробросить на линуксе в PROXMOX.

Ко сожалению Тип ВПН-на именно этот.
и организованно именно так! ВПН между микротиками нельзя.
Нарисовано все тут (ibb.co/ezB3Oe)
https://ibb.co/ezB3Oe

Есть в двух офисах абсолютно одинаковые cisco 881 pci-k9. С аналогичными конфигами. Поднят нат  и ipsec vpn.
В обоих офисах провайдер подает 100 мбит\с. Проблема в том,что на на одной циске скорость внутренним пользователям показана правильно (около 90 мбит\с), а в другом ровно 50. Как будто стоит ограничение ровно на 50 мбит\с. Если подключаться в обход циске, все ок - 100 мбит\с. Проблема где то в циске. Есть правила rate-limit на определенные access-group. Но мой аипи там не присутствует. Да же если отключить правила, все равно скорость остается 50.

Доброго дня коллеги.
Я малость зашел в тупик и посему интересуюсь у вас.
Имеется 2 микротика, на обоих белые IP.
Соединяю их между собой GRE-тунелем с шифрованием.
Удаленный:
name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1
      remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Локальный:
name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2
      remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Маршруты настроены RIP

Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается.

Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все.

Подскажите, куда можно копнуть, чтобы понять, что ему надо...

P.S.
Трассировка проходит без проблем:
$ traceroute 10.10.10.9
traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets
1  10.110.101.1 (10.110.101.1)  0.707 ms  0.313 ms  0.251 ms
2  192.168.90.5 (192.168.90.5)  2.580 ms  4.667 ms  2.385 ms
3  10.10.10.9 (10.10.10.9)  3.280 ms  2.921 ms  2.883 ms

Удаленная подсеть 10.10.10.0/24
Локальная сеть 10.110.101.0/24

При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает.

Скан портов все отображает:
$ nmap 10.10.10.9
Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT
Nmap scan report for 10.10.10.9
Host is up (0.010s latency).
Not shown: 990 closed ports
PORT      STATE    SERVICE
135/tcp   open     msrpc
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
2179/tcp  open     vmrdp
3071/tcp  open     csd-mgmt-port
3389/tcp  filtered ms-wbt-server
49152/tcp open     unknown
49153/tcp open     unknown
49154/tcp open     unknown
49155/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds

но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен

[nops@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; AcessAll
      chain=input action=accept log=no log-prefix=""
1    ;;; AcessAll
      chain=output action=accept log=no log-prefix=""
2    ;;; Input for RBN
      chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix=""
3    ;;; Input for RBN
      chain=input action=accept src-address-list=RBN log=no log-prefix=""
4    ;;; Output for RBN
      chain=output action=accept dst-address-list=RBN log=no log-prefix=""
5    chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix=""
6    ;;; Allow PPTP
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
7    ;;; Allow L2TP
      chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
8    ;;; Accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
9    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix=""
10 X  chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix=""
11    chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix=""
12 X  chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix=""
13 X  chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix=""
14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix=""
16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Здравствуйте, кто-нибудь прикручивал php-скрипты для поиска в теоефоной книге xml?
Хочется сделать поиск по книге в cisco ip communicator

Здравствуйте, поделитесь у кого есть gui для cucme 12.0

Два свича 9300 и 2960L-24TC соединены между собой по оптике через SFP.

На 25 порту(SFP) 2960L:

interface GigabitEthernet0/25
switchport trunk allowed vlan 1,2,250
switchport mode trunk

Через некоторое время у 2960L  виснет дефолтный Vlan1 и IP который висит на Vlan1 не доступен.

Через консоль 2960L не доступна тоже.

Хотя компы и т.д., которые подключены к ней во Vlan1 работают нормально.

В чем может быть причина?

Добрый день

дано: доступ в интернет через гадюшник с кульхацкерами, mitm и даже просто дураками-экспериментаторами с микротиками.
проблема: при попытке загрузить большой объем >100Gb непринципиально, например, тем же apt-mirror или какой-нибудь android source, очевидно, происходит зависание этих самых микротиков у кульхацкеров. Иногда помогает перезагрузка моего роутера linksys(все текущие обновления и патчи стоят), чаще не помогает, но если вытащить провод и вставить через пять минут помогает безупречно. На кабель грешить не приходится, коннектор переобжат. Сетевики прова разводят руками на их оборудовании ограничений нет, но регистрируется много бэдов, предположительно, из-за атак типа fake source routing. На том же самом моем роутере поднял второй WAN на G4-живет без проблем, но он влетает в копеечку.      
вопрос: какие есть варианты решения проблемы, кроме поиска и наказания неадекватов? Что за проблема может такая быть у кульхацкеров, что решается только пятиминутным нарушением физического контакта с моей стороны? Может ли быть это ограничение на размер кэша/дампа?

Поделитесь пожалуйста софтом поновее

Cisco IP Communicator v 8.6(6)
https://software.cisco.com/download/home/278468661/type/2820...