Sophos SMS Gateway Funktion

Die SMS Funktion wurde bei Sophos auf Basis eines Feature Request in der Version 9.2.x irgendwann man eingeführt, verschwand dann allerdings wieder aus dem GUI. Zweischenzeitlich war recht unklar, wann und wie die Funktion eingeführt wird.

Der Feature Request ist hier zu finden:

Wireless: SMS Passcode for HotSpot

Folgender Kommentar eines Sophos Admins verschafft Klarheit was es mit der halbwegs- Einführung aufsich hat:

Aktuell ist unser Produkt-Management noch dran eine Entscheidung zu treffen welche SMS-Provider zum finalen Release des Features unterstützen. Daher wurde das Feature (welches bereits fertig entwickelt wurde und funktioniert) vorerst im Webadmin versteckt. Während der Entwicklungsphase haben die Entwickler sich 5 internationale Provider rausgesucht um die Funktion des Features zu testen. Diese 5 Provider können aktuell gewählt und genutzt werden. Der Kunde hat also jetzt die Möglichkeit das Feature via Kommandozeile zu aktivieren und dann schlussendlich zu nutzen, jedoch mit dem Hinweis dass es sein KÖNNTE (aber nicht muss), dass ein oder mehrere dieser aktuellen 5 Provider nicht mehr auf der finalen SMS-Provider Liste steht/stehen und er dann ggfs. den Anbieter wechseln MÜSSTE. Wie gesagt wurde das aktuell noch nicht entschieden. Einer der 5 Provider ist „SMSTrade“ und damit ein deutscher SMS Provider. Mit diesem haben wir vom Presales bereits schon erfolgreich getestet und SMS-Authentifizierungen am Hotspot durchgeführt. Hierbei kann man via Prepaid auch für z.B. 20 Euro sich ein SMS-Paket von rund 800 SMS kaufen und somit ohne Vertragslaufzeit immer wieder nachkaufen.
 
Zum aktivieren via Kommandozeile müssen folgender Befehl abgesetzt werden:
 
touch /var/sec/chroot-httpd/tmp/enable_sms
/etc/init.d/httpd restart
 
Hierbei wird lediglich der Webadmin neugestartet, es wirkt sich also auf den normalen Betrieb nicht aus. Danach einfach den Webadmin neu laden und im Bereich MANAGEMENT findet man SMS GATEWAY um dort das GATEWAY zu konfgurieren, während man im HOTSPOT Bereich dann auf SMS AUTHENTIFIZIERUNG umstellen kann.

 

Ich hab die Funktion gleich mal getestet und mir einen Gratis Account auf SMSTrade erstellt, dieser behinaltet grob 20 Gratis SMS, je nach Destination.

(mehr …)

SNMPv3 Konfig Beispiele

Für SNMPv3 brauchst man drei Elemente “Gruppe”, “User” und eine “View”. Die View ist quasi nochmals ein Filter, welche MIBs verfügbar gemacht werden. Oft reicht es dort  “iso” rein zu machen, was soviel heisst wie “alle MIB”, man kann ja via ACL einschränken, wer überhaupt verbinden darf. Nachfolgend ein paar Beispiele

Beispiel mit Verweis auf eine ACL

snmp-server group SNMPV3_GROUP v3 auth access SNMP_ACL
snmp-server user NEDI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server user CACTI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY 
snmp-server user PRIME_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY
snmp-server user ISE_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Die ACL ziehst du auf der Gruppe oder dem User an. Ums nicht unnötig zu verkomplizieren, würd ichs jeweils auf der Gruppe anziehen und nicht auf dem User. Theoretisch kann man sogar auf User und Group Level machen.

Beispiel ohne ACL mit nur einem User

snmp-server group NEDI_SNMPV3_GROUP v3 auth 
snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Sollte das Management kein SHA/AES256 unterstützen, kannst du die Verschlüsselung auch runterschrauben:

 

snmp-server group NEDI_SNMPV3_GROUP v3 auth 

snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 128 SNMPV3_AES_KEY 

snmp-server view SNMPV3_VIEW iso included 

Der Key wäre in den Beispielen jeweils: SNMPv3_SHA_KEY

Under zur Verschlüsselung wird verwendet: SNMPV3_AES_KEY 

Beispiel anhand WCS:

Upgrade VMWare Tools auf UC Server

Möchte man ein Upgrade der VMWare Tools für die UC Server durchführen sollte man die folgenden Reihenfolge einhalten:

  1. Disable Firewall -> utils os secure permissive
  2. VMWare Tools refres -> utils vmtools refresh
  3. Server wird automatisch neugestartet
  4. Status der VMWare Tools prüfen



  5. Enable Firewall -> utils os secure enforce

Aufgefallen ist mir dieses Problem überwiegend bei UC 9.x und 10.x Installation.

4500x VSS IOS Upgrade

Aufgrund des Bugs CSCuj67614 bzw. CSCub63571 musste ich heute auf einem Cisco 4500x VSS Cluster ein Software Update machen. Beim Bug handelt es sich um folgendes Problem:

Die vom Kunden eingesetzte ist die letzte noch davon betroffene Version. 

cat4500e-universalk9.SPA.03.04.02.SG.151-2.SG2.bin

Ein Blick auf die Download Optionen zeigt, dass es innerhalb des 3.4er Train ein aktuelles Suggested Release gibt.

(mehr …)

TFTP beschleunigen

Zufällig heute rausgefunden, dass man TFTP Verbindungen erheblich beschleunigen kann, wenn man die Blocksize hochschraubt.

4500x(config)#ip tftp ?
  blocksize         Specify TFTP client blocksize
  boot-interface    Force interface to use for TFTP booting
  source-interface  Specify interface for source address in TFTP connections

4500x(config)#ip tftp bl
4500x(config)#ip tftp blocksize ?
  <512-8192>  blocksize value

4500x(config)#ip tftp blocksize 8192

Statt ca. 100kB/s kommt der Upload nun im Schnitt auf 1MB/s, somit etwa Faktor 10x schneller.

 

Ob das Command auf sämtlichen IOS Plattformen verfügbar ist, kann ich nicht beurteilen. Gesehen hab ich es zumindest auf IOS XE Plattformen (5760, 3850, 3650, 4500x..)

 

Lightwight to Autonomous downgrade via WLC

Um einen LAP zu einem SAP zu downgraden gibt es nebst der Variante mit dem Mode Button eine elegante Variante über den WLC. Vorraussetzung der AP ist bereits gejoined und eine IP Verbindung zu einem TFTP Server ist möglich.

Join status überprüfen

(WLC4) >show ap sum

Number of APs.................................... 1

Global AP User Name.............................. Not Configured
Global AP Dot1x User Name........................ Not Configured

AP Name             Slots  AP Model              Ethernet MAC       Location          Port  Country  Priority
------------------  -----  --------------------  -----------------  ----------------  ----  -------  ------
APfc99.4763.4dde     2     AIR-LAP1242AG-A-K9    fc:99:47:63:4d:de  default location  1        US       1

AP Downgrade

(WLC4) >config ap tftp-downgrade 10.10.210.6 c1240-k9w7-tar.124-25d.JA.tar APfc99.4763.4dde

(mehr …)