ASA 8.3+ Static NAT einzelner Ports AKA PAT

Der Beitrag ist etwas zusammen geklaut… aber jeder der mit ASA vor 8.3 gearbeitet hat und irgendwann mit ASA 8.3+ zu tun hatte, wird sich sicher ab der neuen NAT Syntax genervt haben.
Mittlerweile muss ich zugeben, dass ich die neue NAT Syntax recht cool, wenn auch grottenschlecht implementiert finde….. mal ehrlich Objekte Anlegen und referenzieren ist cool…. aber was sollen die vereinzelten Reiter wo man nicht referenzieren kann und  dann im Hintergrund ein Dummy-Objekt mit cryptischem Namen angelegt wird…. c’mon!? 

Ein Simples Beispiel einer PAT Rule:

Der interne Exchange (172.21.1.45) soll seinen https Port gegen aussen auf der IP 81.92.106.10 natten. Das NAT soll bidirectional sein, dh. er geht auch mit der IP raus bei https Verbindungen
Die mittlere NAT Rule

(mehr …)

Logging direkt auf dem Switch mit archive cmd

In kleineren Deployments, wo sich oft ein ACS nicht rentiert, jedoch trotzdem ein gewisser Wert auf Account gesetzt wird, lohn es sich die Built-in Features von IOS genauer anzuschauen!

Wenn gewünscht ist das Config changes auf den Switchen nachvollziehbar sind, kann dies wie folgt konfiguriert werden

archive
 log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys Danach werden sämtliche Anpassungen geloggt und können im Syslog (Wenn Konfiguriert) oder auch lokal auf dem Switch im Detail angeschaut werden.
 (mehr …)

WDS auf autonomen APs – heute selten, aber dennoch wichtig!

WDS ist in der heutigen Zeit von WLC’s etwas in Vergessenheit geraden, da ja ein 2504er mit 5 AP Lizenzen fast nix mehr kostet. 
Hat man aber doch noch ein autonomes AP deployment, sollte man sich die Zeit nehmen WDS zu konfigurieren. 

Grad letzens bei nem Kunden ein WiFi Tshoot gehabt, der sass grad in der Mitte zwischen zwei AP’s. Bekannterweise ist ja der Client fürs Roaming verantwortlich, ergo sucht er sich immer den AP mit bestem Signal aus. Sitz er in der Mitte und Mal hat der Rechts -60db und der Links -65db, dann spielt er im dümmsten Fall Pingpong. 
Ohne WDS durchläuft er eine volle Authentification… +/- 5 Ping verlüste, mit WDS kann er eine kurze re-Authentification machen und verliert im besten Fall nicht 1 Ping.

Konfig ist simple:

(mehr …)

Zyxel Router ohne NAT

Vorweg, ich bin kein Fan von Zyxel… jedoch trifft man hier in der Schweiz oft diese Zyxel 2802 VDSL Router an, auch bekannt als „haifischflosse“

Zum Bridgen sind die ganz okay wenn man PPPoE/A auf der Firewall oder Router macht.

Will man die aber als Router benutzen, wenn man vom ISP ein >/30 Netz bekommt, muss man 4 Punkte beachten:

Zyxel Router mit PPPoE ohne NAT als Router konfigurieren.

Die Einstellungen auf dem Router:

  • PPPoE auf WAN Interface
  • Lan IP = fixe public IP vom PPPoE
  • Nat deaktiviert!
  • Firewall deaktiviert!

(mehr …)

pbr auf nem 3750er; wie mans macht und wie mans besser nicht macht…

Kürzlich eine „slow network“ Situation getroubleshooted… 

The situation:
Kunde beklagte sich über massiv langsame Verbindung auf „gewisse Server“ aber nur von „gewissen Clients“. Von einem 100Mbit/s Port, kriegt er max. 4MB/s, egal ob FTP, Samba etc..  Zu bemerken noch, dass wenn zwei Clients etwas vom Server ziehen, beiden noch 2MB/s zur Verfügung stehen.

-> Challenge accepted!   😈

The Infrastructure:
Im Core ein 3750er Stack mit 2x-12S und einem -24E. Einer der 12S ist Master und hat eine Advanced Routing IOS drauf.  Rudimentäres STP Setup mit 2960er im Access auf den Stack verkabelt, teils Daisy-chained.

The Configuration:

  • Segmentiert in VLANs (Server, Printer, Cients, Voip, Management…. so wies sich gehört
  • Core STP rootbridge mit prio 4096
  • Rapid PVSTP, schön die redundanten Pfade geblocked
  • InterVLAN Routing aber kein Dynamisches Routing, lediglich eine Default route auf die Firewall
  • Kunde hat quasi zwei WAN… das Public WWW und ein PrivatWAN

MOMENT, was ist das…. PBR mit next hop change konfiguriert…. jetzt wirds spanned.

(mehr …)