>[оверквотинг удален]
> понять, зачем они дублируются и как их заполнять?
> В итоге мне нужно получить доступ во внутреннюю сеть маршрутизатора (опционально хотелось
> бы иметь доступ из сети-сервера к сети клиента), где собственно и
> пытаюсь поднять сервер wireguard.
> На данный момент имею в логе tunsafe:
> [21:46:45] Loading file: C:\Program Files\TunSafe\Config\TunSafe.conf
> [21:46:45] TAP Driver Version 9.21
> [21:46:45] Sending handshake...
> [21:46:50] Retrying handshake, attempt 2...
> [21:46:56] Retrying handshake, attempt 3...

На данный момент освоил как и где ключи прописывать (я их не правильно прописывал). Сейчас сделал несколько пиров на сервере, но почему то они отваливаются со временем (когда подключаю более 1 клиента, похоже).

https://pastebin.com/G0VFPT2r - конфиг клиента1
https://pastebin.com/E6Yes9DX - конфиг клиента2
https://pastebin.com/fqDyPW4t - конфиг сервера

interface: wg
  public key: public key server
  private key: (hidden)
  listening port: port server

peer: public key client1
  endpoint: IP_client1:random_port
  allowed ips: 10.0.0.0/24
  latest handshake: 1 minute, 25 seconds ago
  transfer: 4.11 KiB received, 7.91 KiB sent
  persistent keepalive: every 25 seconds

peer: public key client2
  endpoint: IP_client2:random_port
  allowed ips: (none)
  latest handshake: 1 minute, 28 seconds ago
  transfer: 1.34 KiB received, 9.56 KiB sent
  persistent keepalive: every 25 seconds

peer: public key phone
  endpoint: IP_client_phone:random_port
  allowed ips: (none)
  latest handshake: 12 minutes, 7 seconds ago
  transfer: 1.10 KiB received, 13.42 KiB sent
  persistent keepalive: every 25 seconds

>[оверквотинг удален]
> ##с w2k12 пинг
> ping 192.168.90.1
> Пакетов: отправлено = 4, получено = 4, потеряно = 0
> #выводы
> ##пинги с cisco2811-1 до win машины не доходят, а в трейсе видим
> ip туннеля
> ##wireshark показал что пакеты приходят с 172.16.31.14
> ##*нужно* что бы пакеты прилетали не с 172.16.31.14, а с 192.168.90.1
> если чего то не хватает в объяснении готов пояснить
> кто то может что то посоветовать?

Вам сначала теорию подучить надо....
на cisco
ping 192.168.27.10 source 192.168.90.1

и wireshark покажет 192.168.90.1
И что это поменяет концептуально???

Итого
поскольку в данном случае речь шла о радиусе, решение такое

ip radius source-interface Vlan1

для других соответсвенно

- NTP: ntp source

- SNMP Trap: snmp-server trap-source

- TFTP: ip tftp source-interface

- FTP: ip ftp source-interface

- SSH: ip ssh source-interface

- TACACS: ip tacacs source-interface

- RADIUS: ip radius source-interface

etc. etc. etc.

> ##w2k12:
> ip address 192.168.27.10
> defailt route 192.168.27.2

А 192.168.27.2 знает о сетях за 192.168.27.1 ?

а где tunnel protection ipsec profile ? Без этого никакого nat-t

>[оверквотинг удален]
>  ip nhrp nhs 192.168.35.1
>  ip ospf network broadcast
>  ip ospf hello-interval 30
>  ip ospf priority 0
>  ip ospf mtu-ignore
>  cdp enable
>  tunnel source Dialer0
>  tunnel mode gre multipoint
>  tunnel key 123
> Что надо еще добавить, чтобы туннель заработал через NAT?

Откройте на хабе ESP, т.к. UDP 500/4500 только для IKE(v2), а сам IPSec ходит по ESP (или AH).
Также crypto ipsec transform-set myset2 ah-sha-hmac esp-aes переведелайте в crypto ipsec transform-set myset2 esp-sha-hmac esp-aes.

> Доброе время суток всем!
> Продолжаю настройку микротика. Подскажите, как мне нужно его согнуть, чтобы получилось
> следующее: есть несколько точек, объединённых через eoip. Всё везде внутри оформлено
> как бридж (исторически от предыдущего админа, ломать пока не готов). Есть
> центральный dhcp-сервер. Нужно на одной из точек отдать wifi клиентам и
> гостям. Сейчас пока настроил AP и отдал клиентам, адрес получают от
> центрального dhcpd. Как мне дальше настраивать? Поднимать virtual ap с новым
> адресом и вешать на него dhcpd? Или как-то иначе? Кто подскажет
> правильное направление? Спасибо!..

Второй SSID и отдельный vlan ?

> Добрый день. Поднят VPN сервер - Dynamic Virtual Tunnel Interface Easy VPN
> Server
> Для того, чтоб у пользователей не пропадал интернет во время vpn сессий
> (он необходим пользователям во время работы), есть access-list 120 permit ip
> 192.168.3.0 0.0.0.255 any
> Для того, чтоб пользователи не забывали разъединятся после работы, я хочу ограничить
> им скорость выхода в интернет. Будет ли работать ограничение, если я
> сделаю на интерфейс rate-limit output access-group 120 ................?

Оно будет работать ровно так и там, на какой интерфейс повесите.

Конфиг не делает того, чего вам хотелось когда вы конфигуряли,
Он выполняет ровно то, ЧТО вы наконфигуряли.

.

>[оверквотинг удален]
> Рабочая сеть 192.168.0.0
> Сервера находятся в 192.168.1.0
> Коммутатор ядра 192.168.0.1
> То есть компьютер 192.168.0.5 имел доступ к 192.168.0.1 и к 192.168.1.0 но
> не имел доступа к остальной сети 192.168.0.0.
> Соответственно компьютер 192.168.0.6, компьютер 192.168.0.7 и т.д.
> имели доступ к 192.168.0.1 и к 192.168.1.0 но не имел доступа к
> остальной сети 192.168.0.0.
> И компьютер 192.168.0.10 имел доступ ко всему.
> Как правильней прописать acl?

Через Private VLAN.
Но не в вашем случае. В 2960 только protected port.

ip ftp source-interface укажите

>[оверквотинг удален]
> Building configuration...
> [OK]
> Writing SW-1-1-1Jul-17-08-12-15-1
> Но на FTP сервере конфига нет
> Пинга с 2960 до ftp сервера нет
> Но при этом на 4948 пинга нет до фтп, но конфиг без
> проблем кладется
> на 3850 пинг есть и конфиг кладется.
> Где промахнулся? Сможете подсказать? Все же банально просто, но не работает.
> Спасибо!

попробуйте использовать "path ftp://user:pass@host/path/file.name"

Статистика в туннельном интерфейсе

Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 192.168.35.5/28
  MTU 17912 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 51/255, rxload 94/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel linestate evaluation up
  Tunnel source X.X.171.30 (Dialer0)
   Tunnel Subblocks:
      src-track:
         Tunnel1 source tracking subblock associated with Dialer0
          Set of tunnels with source Dialer0, 2 members (includes iterators), on interface <OK>
  Tunnel protocol/transport multi-GRE/IP
    Key 0x3122CAB, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255, Fast tunneling enabled
  Tunnel transport MTU 1472 bytes
  Tunnel transmit bandwidth 16000 (kbps)
  Tunnel receive bandwidth 16000 (kbps)
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters 1y2w
  Input queue: 0/75/271095/0 (size/max/drops/flushes); Total output drops: 225004
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 36000 bits/sec, 13 packets/sec
  5 minute output rate 21000 bits/sec, 13 packets/sec
     1432678070 packets input, 3587649481 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     1327156386 packets output, 3526856391 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out

Ошибок т.е. нет

Ну теперь меняй пароль на enable и больше не используй enable password. Делай enable secret.

С виду все хорошо у тебя. Дефолтный роут на месте? Покажи sh ip route до кучи.

Поправка (после перезагрузки шлюза) arp-таблица на клиенте заполнена правильно, но доступа к серверу самбы, всё равно, по внутренней сети нет. Хотя пинг проходит.

>[оверквотинг удален]
> Последние два коммутатора доживают свой срок, а вот 3750E 3750X несут модули
> 10G для связи в разные стороны.
> Может ли WS-C3850 работать в одном стеке с 3750E? с 3750X?
> Какая из подмоделей WS-C3850 может одновременно нести 4 линка на 10Гб (как
> можно дешевле)?
> Я не понимаю, описание Optional Network Module тут:
> https://www.cisco.com/c/en/us/products/switches/catalyst-385...
> Например,  4 x 1 GE  2 x 10 GE  
> означает, что или 4 SFP-порта на 1Гб, или два на 10Гб.
> А что означает приписанное дальше 4 x 10 GE?

Стек 3850-3750 - нет.

В даташите на модели 3850 есть Table2 Network module compatibility matrix.
Даташит 3850 - https://www.cisco.com/c/en/us/products/collateral/switches/c...

>низкоскоростными каналами (не более 2М), через которые работает «пирог» — VRF-GRE-ISIS-MPLS(LDP)-L2VPN (xconnect)

Из пушек по воробьям.
Для таких низкоскоростных каналов вообще не стоит так извращаться.

> работает «пирог» — VRF-GRE-ISIS-MPLS(LDP)-L2VPN (xconnect). При этом

Коллега, без понимания какие задачи решаются "пирогом" и чего конкретно хочется добиться при замене одной технологии на другую вам вряд-ли что-то посоветуют.

Ну и уж тем более никто не станет писать вам план миграции за спасибо.

Если это у вас курсовая или какие-нибудь другое "учебное задание", лучше сразу так и писать.

> Добрый день! Нужно решить следующую задачу: есть два узла (на базе cisco
> 2911) связанных между собой низкоскоростными каналами (не более 2М), через которые
> работает «пирог» — VRF-GRE-ISIS-MPLS(LDP)-L2VPN (xconnect). При этом
> в зависимости от метрики ISIS весь трафик идет через один канал,
> а второй находится в резерве (простаивает). Услуги гуляют разные: телефония, видео,
> передача данных и зачастую приходится «резать» менее приоритетный трафик. Стоит
> задача применить вместо LDP — RSVP-TE, организовать 2 тоннеля MPLS-TE по
> разным каналам или для каждой услуги (видео, голос и т.д.) и
> создать отдельный xconnect. Но пока не четкой ясности как с LDP
> перейти на RSVP-TE с меньшими "потерями".

LDP over RSVP

> На server1 настроен NPS и соответствующий radius-клиент создан, в политике в аттрибутах
> добавлено shell:priv-lvl=15

разобрался, дело все-таки на radius-сервере было.
в network policies соответствующей servise-type = administrative сделать.

> этой зоне сделал фильтрацию acl:
> access-list 11 permit 192.168.21.0 0.0.0.255
> access-list 11 permit 192.168.22.0 0.0.0.255
> access-list 11 permit 192.168.23.0 0.0.0.255
> access-list 11 permit 192.168.24.0 0.0.0.255
> access-list 11 permit 192.168.25.0 0.0.0.255
> access-list 11 permit 192.168.26.0 0.0.0.255
> access-list 11 permit 192.168.27.0 0.0.0.255
> access-list 11 permit 192.168.190.0 0.0.0.255
> access-list 11 deny   any

На другом роутере видно, что приходят все маршруты с DR офиса:
Link ID         ADV Router      Age         Seq#       Checksum Tag
192.168.11.0    192.168.36.1    41          0x80000001 0x00ADEF 0
192.168.12.0    192.168.36.1    41          0x80000001 0x00A2F9 0
192.168.14.0    192.168.36.1    41          0x80000001 0x008C0E 0
192.168.15.0    192.168.36.1    41          0x80000001 0x008118 0
192.168.21.0    192.168.36.1    41          0x80000001 0x003F54 0
192.168.22.0    192.168.36.1    41          0x80000001 0x00345E 0
192.168.23.0    192.168.36.1    41          0x80000001 0x002968 0
192.168.24.0    192.168.36.1    41          0x80000001 0x001E72 0
192.168.25.0    192.168.36.1    41          0x80000001 0x00137C 0
192.168.26.0    192.168.36.1    41          0x80000001 0x000886 0
192.168.27.0    192.168.36.1    41          0x80000001 0x00FC90 0
192.168.30.0    192.168.32.1    1822        0x80000C69 0x000317 0
192.168.31.0    192.168.36.1    41          0x80000001 0x00A6E9 0
192.168.31.8    192.168.32.1    1822        0x80000C69 0x007D9A 0
192.168.32.16   192.168.36.1    41          0x80000001 0x003C56 0
192.168.32.24   192.168.36.1    41          0x80000001 0x00AACC 0
192.168.32.32   192.168.36.1    41          0x80000001 0x005A15 0
192.168.33.8    192.168.36.1    41          0x80000001 0x004046 0
192.168.33.16   192.168.36.1    41          0x80000001 0x00EF8E 0
192.168.41.0    192.168.36.1    41          0x80000001 0x00621D 0
192.168.42.0    192.168.36.1    41          0x80000001 0x005727 0
192.168.43.0    192.168.36.1    41          0x80000001 0x004C31 0
192.168.44.0    192.168.36.1    41          0x80000001 0x00413B 0
192.168.46.0    192.168.36.1    41          0x80000001 0x002B4F 0
192.168.50.0    192.168.36.1    41          0x80000001 0x00FE77 0
192.168.190.0   192.168.36.1    41          0x80000001 0x00F4F4 0

> Туннели работают, всё хорошо, но!

Работает - не лезь, не чини, не задавай вопросов.

> Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть
> причина? Откуда берётся значение 1446?

Ну если у вас на точках ВСЕ одинаковое, а между точками - черный ящик - какой еще ответ вы ждете?
Пообщайтесь с провайдером на этот предмет, он явно ближе к своему и вашему оборудованию, чем местные телепаты...

>[оверквотинг удален]
> tunnel protection ipsec profile _vtprofile
> !
> Туннели работают, всё хорошо, но!
> Если из сетей филиала пинговать узлы центрального офиса командой
> ping -M do -s 1450 и подбирать размер, то при превышении размера
> одного пакета в одном филиале получаем в выводе команды максимальный MTU
> 1446, в другом - 1416. Почему так может быть? Всё одинаковое
> на узлах, кроме оборудования провайдера, в нём может быть причина? Откуда
> берётся значение 1446?
> Выводы sh ip int одинаковы в части MTU

Вот здесь про MTU и о том как на железе от одного вендора он может отличаться в зависимости от линейки оборудовани:

https://netbeez.net/blog/mtu/

>[оверквотинг удален]
> 5 - 10.2.70.0/24
> На центральном офисе есть 2 провайдера (новый и старый). Новый подключен к
> 2921, старый - Mikrotik.
> Все пользователи в центральном офисе работают через новый провайдер. НО есть некоторые
> сайты которые открываются только через старый провайдер.
> Периодически на некоторых отделениях отваливается интернет.
> Вопрос: Есть ли какой то механизм который позволит прокинуть маршрут в интернет
> одного отделения(881 -> 2921 -> 3560 -> Mikrotik) через микторик не
> заципая всех остальных? Например какое-то правило типа если сеть источник 10.2.50.0/24
> то все запросы в интернет отправляй на микротик.

Анонсируйте такие маршруты с микротика

policy based routing, PBR

http://xgu.ru/wiki/Cisco_PBR

>[оверквотинг удален]
> 5 - 10.2.70.0/24
> На центральном офисе есть 2 провайдера (новый и старый). Новый подключен к
> 2921, старый - Mikrotik.
> Все пользователи в центральном офисе работают через новый провайдер. НО есть некоторые
> сайты которые открываются только через старый провайдер.
> Периодически на некоторых отделениях отваливается интернет.
> Вопрос: Есть ли какой то механизм который позволит прокинуть маршрут в интернет
> одного отделения(881 -> 2921 -> 3560 -> Mikrotik) через микторик не
> заципая всех остальных? Например какое-то правило типа если сеть источник 10.2.50.0/24
> то все запросы в интернет отправляй на микротик.

PBR, VRF, MPLS, GRE, L2TPv3.....

Выбор богатый, вплоть до сделать циску для этого канала в роли коммутатора.

> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.

что за VPN?

> Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии,
> которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в
> сутки разрыв всех сессий.

Сервер авторизации используется? RADIUS, TACACS? Через них можно на сеанс выдавать Idle-Timeout.

>[оверквотинг удален]
>  ip address 172.23.240.254 255.255.255.0
>  ip access-group VALN-910-OUT out
> Вот сам ACL:
> sh access-lists VALN-910-OUT
> Extended IP access list VALN-910-OUT
>     10 permit ip any 172.23.240.0 0.0.0.255 (529 matches)
>     20 permit ip 172.23.240.0 0.0.0.255 any (6 matches)
> Каким образом в ACL отрабатывают оба правила в разных направлениях? Ведь должен
> рассматриваться
> только трафик по первому правилу - из интерфейса в vlan.

из сети 172.23.240.0/25

ping 172.23.240.254
sh access-lists VALN-910-OUT
ping 172.23.240.254
sh access-lists VALN-910-OUT

Копируешь, правишь, удаляешь туннель, вставляешь ;)

телефоны с SIP прошивкой?

Кто нибудь сталкивался с таким? надо ли делать port forwarding?
смотрите трафик на маршрутизаторе I.
по умолчанию кукм ртп 16384 - 32767 UDP. наврядли меняли.
штоп вам мозги не парили пробросьте этот дипазон, включите нат на телефоне(он должен знать что он за натом) и скиньте письмом прописанное правило админу кукма. остальное не ваше.
на кукм надо включить нат  и запретить ходить голос напрямую.
пс. вопрос - у вас в ноуте 2 сетевые? как вы умудрились перехватить трафик?
  

А когда прокачивается 10 мегабит/с в "быструю" сторону, то загрузка 50/50, в задачах почти всё по нулям...
Interrupts видимо прут, а почему - понять не могу  :(

Думаете понятно все написали?
Где схема, конфиг, выводы команд?
Где наблюдается high cpu?

Фрагментация говорите? Ну так сделайте traffic export c внутреннего и внешнего интерфейсов. Ссылку я вам приводил на другом форуме. И посмотрите полученные pcap файлы в  wireshark''е

> Народ, у кого используются 6500 и 7600, в последнее время у вас
> не появились частые перезагрузки?

Такое бы сразу было во всех интернетах.
Учитывая что там все вдоль и поперек дублировано, начинайте с очевидных вещей.
Загрузка ЦПУ и память

> что может быть?

Да что-угодно.
Открывайте документ по troubleshooting платформы "и по мусингам, по мусингам".

Попробовал зафильтровать на хабе анонс этой сети

access-list 50 deny X.X.26.160 0.0.0.7
access-list 50 permit any

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0
distribute-list 50 out

Но почему роутер пытается ее анонсировать остается загадкой...

>[оверквотинг удален]
> Вопрос вот в чем, на серваке иногда нужно смотреть адрес, откуда к
> нему приходило подключение.
> Так вот, внешний адрес я не вижу, вместо него вижу адрес шлюза
> DMZ.
> Уже не знаю куда копать, перед прошивкой на версию 9.1 проблем не
> было.
> Я так понимаю тут либо access-list, либо NAT как то не так
> настроен,либо еще что то.
> Может есть мысли?
> Спасибо!

На самом деле нужно увидеть правильный X-Forwarded-For для пакета, который приходит на WEB-Server в DMZ/

> ПРовайдер предоставляет 100Мбит/с,

А провайдер, типа, мамой клянётся, и вне любых подозрений?

Разобрался, надо было статический роут сделать.

>[оверквотинг удален]
>  match interface GigabitEthernet0/0
>  !
> route-map local-policy permit 10
>  match ip address 1
>  set ip next-hop xxx.xxx.xxx.xx1
> !
> route-map local-policy permit 20
>  match ip address 2
>  set ip next-hop yyy.yyy.yyy.yy1
> !

А подумать???
access-list 1 permit xxx.xxx.xxx.xxx
Что ловить должен?? там должен быть IP источника, а никак не шлюза...
В IP заголовке вообще понятие "шлюз" отсутствует!

> Привет НАРОД!
> Ушел от ужасного провайдера РОСТЕЛЕКОМА, остался роутер RT-1W4L1USBn. В инструкции к роутеру
> написано что он поддерживает IPPOE\PPoe, а мне нужен L2TP.
> Хочу перепрошить СИЕ "ЧУДО" но не знаю МОДЕЛЬ(оригинальная версия роутера).
> Предполагаю что РОСТЕЛЕКОМ просто перепрошил под себя!
> Буду очень благодарен за подсказку!
> На просторах нашел описание и даже ссылку на прошивку, но не догоню
> какую прошивку подбирать!
> (http://silyashevich.blogspot.ru/2014/08/rt-1w4l1usbn.html)

это не ссылка -- это мысли в слух , мол вот какая-то должна подойти -- если взять изалить туда первую попавшуюся -- то в 99% будет кирпич а ещё 0.9 процента не заработает правильно.

> Привет НАРОД!
> Ушел от ужасного провайдера РОСТЕЛЕКОМА, остался роутер RT-1W4L1USBn. В инструкции к роутеру
> написано что он поддерживает IPPOE\PPoe, а мне нужен L2TP.
> Хочу перепрошить СИЕ "ЧУДО" но не знаю МОДЕЛЬ(оригинальная версия роутера).
> Предполагаю что РОСТЕЛЕКОМ просто перепрошил под себя!
> Буду очень благодарен за подсказку!
> На просторах нашел описание и даже ссылку на прошивку, но не догоню
> какую прошивку подбирать!
> (http://silyashevich.blogspot.ru/2014/08/rt-1w4l1usbn.html)

Так от Ростелекома там только лэйбочки... а делал его QTech

Сертификат для https доступа.
Обычно нафиг не нужен.

>> Что это за кусок кода? Что он делает? Зачем он нужен?

Это самоподписанный сертификат.

Нужен например для подключения к устройство по ssh без необходимости поднимать CA и прочую pki инфраструктуру.

устарело

вот пример
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...