Cisco ASA and lot of email recipients

Those days we faced the problem that we recived a mail with approx 150 recipients.
Somewhere in the communication it seams that a mail address is broken by the asa.

On the Outside of the ASA you see following in the trace:

        Inside E-Mail Server (Blue) mail.example.com
        Outside E-Mail Server (Red) mail.asdf.com
        220-mail.example.com ESMTP Server [Wed, 18 Aug 2010 10:30:58 +0200]
        220-Ready to recycle your bits, but we don't want 
        220 your unsolicited or bulk e-mail (ie: spam) 
        EHLO mail.asdf.com 
        250-mail.example.com Hello mail.asdf.com [192.168.0.1] 
        250-SIZE 4194304
        250-PIPELINING 
        250-AUTH PLAIN LOGIN CRAM-MD5 NTLM 
        250-STARTTLS 
        250 HELP 
        MAIL FROM:<asdf@asdf.com> SIZE=42157 
        RCPT TO:<user1@example.com> 
        <output omited> 
        RCPT TO:<user20@example.com> 
        RCPT TO:<user21@ 
        250 OK 
        example.com> 
        RCPT TO:<user22@example.com> 
        RCPT TO:<user23@example.com> 
        RCPT TO:<user24@example.com>
        <output omited> 
        250 Accepted 
        <output omited> 
        250 Accepted 
        
            501 <user21@XXXXXXXXXXXXXX: '>' missing at end of address
          
        250 Accepted 
        250 Accepted
        250 Accepted

On the Inside of the ASA you see following in the trace:

        Inside E-Mail Server (Blue) mail.example.com
        Outside E-Mail Server (Red) mail.asdf.com
        220-mail.example.com ESMTP Server [Wed, 18 Aug 2010 10:30:58 +0200]
        220-Ready to recycle your bits, but we don't want
        220 your unsolicited or bulk e-mail (ie: spam)
        EHLO mail.asdf.com
        250-mail.example.com Hello mail.asdf.com [192.168.0.1]
        250-SIZE 4194304
        250-PIPELINING
        250-AUTH PLAIN LOGIN CRAM-MD5 NTLM
        250-STARTTLS
        250 HELP
        MAIL FROM:<asdf@asdf.com> SIZE=42157
        RCPT TO:<user1@example.com>
        <output omited> 
        RCPT TO:<user20@example.com>
        RCPT TO:<user21@ 250 OK
        XXXXXXXXXXXXXX
        RCPT TO:<user22@example.com>
        RCPT TO:<user23@example.com>
        RCPT TO:<user24@example.com>
        <output omited> 
        250 Accepted
        <output omited> 
        250 Accepted
        
            501 <user21@XXXXXXXXXXXXXX: '>' missing at end of address
          
        250 Accepted
        250 Accepted
        250 Accepted

This is a little bit strange so i will ask the Guys from Cisco if this is a known feature or a bug.

For the Momemt we have disabled the esmtp fixup, on monday we will do future analysis.

If you feel this helps a bit or may be not ? Please leave a comment.

Powered by Zoundry Raven

The Truth is out there

Einige Wahrheiten über Netzwerke;-)

IOS Tastatur Hints

IOS Tastatur Hints

Ctrl+B or Left	Move the cursor one character to the left
Ctrl+F or Right	Move the cursor one character to the right
Esc, B	Move the cursor one word to the left
Esc, F	Move the cursor one word to the right
Ctrl+A	Move cursor to the beginning of the line
Ctrl+E	Move cursor to the end of the line
Ctrl+P or Up	Retrieve last command from history
Ctrl+N or Down	Retrieve next command from history
Ctrl+T	Swap the current character with the one before it
Ctrl+W	Erase one word
Ctrl+U	Erase the entire line
Ctrl+L	Reprint the line
Ctrl+C	Exit configuration mode
Ctrl+Z	Apply the current command and exit configuration mode

Midnight Snack

[caption id="" align="alignnone" width="401" caption="http://www.filemagazine.com/thecollection/archives/2009/06/midnight_snack.html"]What happens when Darth is sleeping:[/caption]

Enterasys C2 Switch Traffic Shaping

Configuring Traffic Shaping on the Enterasys C2 Switch.

Enterasys C2 SNMPv2

To enable SNMPv2 access on the Enterasys C2 Switches you have to issue following commands:

         set snmp access gReadOnlyV1V2C security-model v1 exact read vUnsecured
         set snmp access gReadOnlyV1V2C security-model v2c exact read vUnsecured
         set snmp community mycomunity securityname sn_v1v2c_ro
         set snmp group gReadOnlyV1V2C user sn_v1v2c_ro security-model v1
         set snmp group gReadWriteV1V2C user sn_v1v2c_rw security-model v1
         set snmp group gReadOnlyV1V2C user sn_v1v2c_ro security-model v2c
         set snmp group gReadWriteV1V2C user sn_v1v2c_rw security-model v2c
         set snmp view viewname vUnsecured subtree 1
         set snmp view viewname vUnsecured subtree 0.0

If you feel this helps a bit or may be not ? Please leave a comment.

Enterasys C2 and SSH

To enable the SSH Service on a Enterasys SecureStack C2 and similar you have to issue "set ssh enabled" on the cli.

         C2(su)->set ssh enabled
         SSH hostkey generation initiated. Process should complete in 60 seconds.
         C2(su)->

If you feel this helps a bit or may be not ? Please leave a comment.

Cisco ASA and Tacacs+

How to use Tacacs+ on Cisco ASA

          aaa-server TACACS+ protocol tacacs+
          aaa-server TACACS+ (intern) host X.X.X.X
                     key YYYYXXXYYY
          no aaa authentication http console LOCAL
          no aaa authentication ssh console LOCAL
          aaa authentication http console TACACS+ LOCAL
          aaa authentication ssh console TACACS+ LOCAL
          aaa authentication enable console TACACS+ LOCAL
          aaa authorization command TACACS+ LOCAL

If you have allready configured ssh you might see something like

          asa1(config)# aaa authentication ssh console TACACS+ LOCAL
          Range already exists.

If you feel this helps a bit or may be not ? Please leave a comment.

Cisco ASA and SMTP

We recently bought so new Firewalls to replace to aged Cisco PIX515e with some new Gear. We decided to use Ciscos new Firewall flagship the Cisco ASA Devices. Everything was fine after the replacement, we transfered the configuration from the old boxes to the new with the help of the Cisco Security Manager.

Later that day there was complains about e-mails are not delivered properly.

On the Cisco PIX with Software 6.2 we had implemented following:

   
        no fixup smtp

For the ASA5510 we had to implement following

        policy-map type inspect esmtp esmtp_pmap
            parameters
              allow-tls action log
        policy-map global_policy
            class inspection_default
                no inspect esmtp
                inspect esmtp esmtp_pmap
            exit
        exit

If you feel this helps a bit or may be not ? Please leave a comment.

Access-based Enumeration (ABE) and Cisco WAAS

Access-based Enumeration (ABE) is a smart feature to let users see only the folders they have access to.
But if you have Cisco WAAS deployed in your network please be aware you have to add a Dynamic share to the waas configuration so the waas knows about this.

Cisco Wide Area Application Services Configuration Guide (Software Version 4.1.7)

Step 1
For creating a dynamic share you have to add a Domain to the Cental Manager eg "Dynamic Shares"

Step 2
Create a entry under the dynamic shares in the global configuration.

On the WAE CLI

 
ToBe Done

If you feel this helps a bit or may be not ? Please leave a comment.

Cisco MDS 9222i with ACS

If you want to configure tacacs+ on the Cisoc MDS9222i Series you have to enable first the feature.

        feature tacacs+

After this the commands to configure the Tacacs+ are available.

        !
        feature tacacs+
        !
        tacacs+ distribute
        tacacs-server timeout 10
        tacacs-server host 10.0.243.247 key 0 secertkey
        tacacs-server host 10.0.243.248 key 0 secretkey
        tacacs+ commit
        !
        aaa group server tacacs+ AAA-Servers
            server 10.0.243.247
            server 10.0.243.248
            deadtime 5
        !
        aaa authentication login default group AAA-Servers
        aaa authentication login console local
        aaa authentication login error-enable
        !
        ip route 10.0.243.247 255.255.255.255 10.0.160.1 interface mgmt0
        ip route 10.0.243.248 255.255.255.255 10.0.160.1 interface mgmt0
        !
        interface mgmt0
            ip address 10.0.160.99 255.255.255.0
            switchport description Management
            switchport speed 100

If you feel this helps a bit or may be not ? Please leave a comment.

Cisco WAAS and Tacacs+

How To use Tacacs+ with Cisco WAAS for Authentication.

Configuration with the Central Manager

Tacacs+ is configured in the Device Context at Configure > Security > AAA > TACACS+

Go to Configure > Security > AAA > Authentication Methods

Go to Configure > Security > AAA > Command Authorization

On the Accelerator CLI

   tacacs key ****
   tacacs host 10.0.243.247 primary
   tacacs host 10.0.243.248
   tacacs key ****
   authentication login local enable secondary
   authentication login tacacs enable primary
   authentication configuration local enable secondary
   authentication configuration tacacs enable primary
   authentication fail-over server-unreachable
   aaa authorization commands 15 default tacacs+

On the ACS you have to add following Attribute to the Profil

For the cetral manager to work also you have to create a group "admin" and assign the role admin Under Admin > AAA > User Groups

If you feel this helps a bit or may be not ? Please leave a comment.

CMAS ** Tauchgang 1

Heute war dann der Tauchgang 1 für CMAS ** dran. Das heist geben von drei Unterwasserzeichen, abstandhalten vom Boden und keinen Staub aufwirbeln und dann einen Aufstieg von ca. 20 Metern mit Stop auf 9 Metern und dann bis 6 Meter und Ende.

Wir sind gemütlich im Blausteinsee unterwegs gewesen einfach raus bei ca 100° - 110° haben die Übungen gemacht und sind dann noch was bei 3-6 Metern rum geschwommen sehr schön zum Tarien üben.

Danke Klaus für das zeigen einer schönen Tarier Technik.

Tauchgang Nummer	43
Tauchplatz	Blausteinsee, Eschweiler
Tiefe	20 Meter
Dauer	30 Minuten
Temperatur	7-21°
Sicht	1-10 Meter

Mein taucherischer Werdegang.
The worst day diving is better than the best day working:-)

Blausteinsee

Der Blausteinsee ist ein Badesee der bei der rekultivierung des Braunkohletagebaus "Zukunft" entstanden ist, nähers findet ihr in der Wikipedia.

Zum Tauchen ist der See mit einer Tiefe um die 40 Metern gut geeignet, die Sichtweiten schwanken zwischen 1 und 7 in den oberen Regionen und bis zu 20 Meter im tieferen Bereich. Die Sicht ist stark abhängig von der Anzahl der Taucher und der Algenschicht im Breich bis 6 Meter.

Die Wassertemperatur ist mässig bis kalt (4-6°) in den tieferen Regionen des Sees, werden im Sommer nicht überschritten. Im Flachwasser kann die Temperatur bis 21° betragen.

Daher ist ein guter Kälterschutz und Kaltwassertaugliche Ausrüstung empfehlenswert, die Lampe sollte auch nicht zu Hause bleiben.

Im Wasser gibt es eine Menge von Attraktionen, z.B. zwei LKW Kabinen, diverse Platformen.

Die Tauchbasis am Blausteinsee.

Nach dem Tauchgang.

Der Einstieg.

Nebenan der Segelklub.

Der Weg zum Einstieg.

Die Seebühne neben an, soll woll sowas wie einen Bagger darstellen.

Und noch mehr von der Bühne.

Größere Karte anzeigen
Karte und weitere Beschreibung folgen.

Mein taucherischer Werdegang.

Tauchgang Nummer 40

Heute hatte ich dann meinen 40. Tauchgang :-) Wir waren im Blausteinsee in Eschweiler unterwegs und sind zum Boot raus auf dem Rückweg haben wir dann noch ein wenig die Wechselatmung geübt. Wir haben einiges an Fischen im Bereich des Einstieges gesehen und sind dann rüber zum X-Mas Tree und haben schön bei 5 - 10 Metern 45 Minuten verbracht.

Tauchplatz	Blausteinsee, Eschweiler
Tiefe	26 Meter
Dauer	45 Minuten
Temperatur	7-21°
Sicht	1-15 Meter

Mein taucherischer Werdegang.
The worst day diving is better than the best day working:-)

CMAS ** Tauchgang 2

Endlich wieder Tauchen nach dem Stress der vergangenen Tage, wieder ein paar Übungen und der zweite Silber Tauchgang. Das Wetter war ein wenig Wechselhaft, aber einigermaßen Trocken. Wir haben uns abends um 18:30 Uhr am Blausteinsee in Eschweiler getroffen und sind dann in einer vierer Gruppe ins Wasser. Das Wasser war im unterhalb von 10 Metern wie zu erwarten um die 7 Grad, aber das bin ich vom Blausteinsee gewohnt.

Unsere Gruppenführerin hat uns über die LKW Führerhäuser und die 5 und 8 Meter Platform zur 20 Meter Platform gebracht. Danke schön.

Für die Wechselatmung hab ich dann einen zweiten Anlaufgebraucht, da ich irgendwo so bei 8 Meter aus der Tarierung gekommen bin und dann sind wir nach oben durch geschossen, zum Glück ohne Folgen. Dann beim zweiten Versuch ist dann aus der Übung etwas mehr geworden da dann meine Flasche leer war :-) und dann eben mit dem Schnorchel an der Oberfläche zurück. ;-)

Freu mich dann schon mal auf die letzten drei Tauchgänge, dann aber wieder mit der Doppel 12.

Danke Lars für die Leihgabe der Flaschen, freu mich darauf mit dir dann bald wieder Tauchen zugehen und viele Geschichten über Schweden zu hören und zwischen Zeitlich zu lesen (Zum Blog) . Viel Spaß und gute Erholung euch dreien.

Tauchplatz	Blausteinsee, Eschweiler
Tiefe	20 Meter
Dauer	30 Minuten
Temperatur	7-21°
Sicht	1-10 Meter

Mein taucherischer Werdegang.

CMAS ** Tauchgang 4

Wir haben uns dann Samstags Morgens um 9:00 Uhr am See getroffen, *gähn*, war noch ein wenig früh für mich.
Schöner Tauchgang im Blausteinsee. Vollkommen entspant sind wir raus zum Führerhaus auf 8-10 Metern von da aus dann in den Teifenbereich bis 20 Meter und dann in Richtung Norden zur Platform.
Die Gruppenführung war bei sichtweiten um die 7 Metern recht einfach. Die Abgabe des Automaten für fünf Minuten war druch den langen Schlauch kein Stress für uns beide. ;-)

Meine beiden Teammitglieder haben dann verschiedene Aufgaben für ihren Silberkurs erledigt.
Nach ca. 35 Minuten waren wir dann wieder aus dem Wasser.

Tauchgang Nummer	35
Tauchplatz	Blausteinsee, Eschweiler
Tiefe	23 Meter
Dauer	36 Minuten
Temperatur	7°
Sicht	1-7 Meter

Mein taucherischer Werdegang.
The worst day diving is better than the best day working:-)

Sonderbrevet “Gruppenführung”

33 Tauchgänge.

Mein taucherischer Werdegang.

Sonderbrevet “Orientierung beim Tauchen”

Zur Orientierung unterwasser gibt es verschiedene Möglichkeiten:
Natürliche Orientierung anhand von Markanten Punkten Unterwasser und deren Tiefe und deren Lage.

Man kann sich auch an des Ufers orientiern,
oder mit Hilfe von einem Kompass...

Nice Day

Sonderbrevet “Nachttauchen”

Sonderbrevet "Nachttauchen"

10 Tauchgänge.

Mein taucherischer Werdegang.

Paris

CMAS*

Heute hab ich meinen CMAS* bestanden.

5 Tauchgänge.

Tauchen in Monte Mare

Heute waren wir im Indoor Tauchzentrum Monte Mare in Rheinbach..

WAVE-276 and the second Virtuale Blade

So finally with WAAS-4.1.3.55 cames out and you can conifigure a second virtual Blade.

Nice;-)

A Keyboard for Blondes

While Surfing a round for a new Keyboard i dicovered the Keyboard for Blondes, maybe:-)

This keyboard has been aproved for Blondes by the American Blondes Association of America.

Thanks to Das Keyboard maybe my next one.:-)

Vienna 2009

DMVPN with Linux

I know since i discovered the DMVPN in 2004/5 this is a very intelligent combination of IPsec, GRE and NHRP. Many Thanks to the Guys at Cisco, Christoph, Frederick and all other.

This week i discovered "opennhrp" on sourceforge.

It took me a minute or two to have a VM with debian up and the needed tools installed.

I used VMWare with a bridged ethernet interface for testing, installed debian 4.0 netinstall iso and upgraded to sid / testing, so i got Kernel Version 2.6.26-1-686.

Then downloaded ipsec-tools-0.8-alpha20090126.tar.bz2 from the site. you have to install some libs and tools to build ipsec tools, like kernel headers and so on:-) and done some configure and make stuff.

I went to make opennhrp, well all done with out a problem to here.

Next i configured racoon and ipsec-tools and opennhrp like this:

   /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   spdflush;
   spdadd 0.0.0.0/0 0.0.0.0/0 gre -P out ipsec esp/transport//require;
   spdadd 0.0.0.0/0 0.0.0.0/0 gre -P in ipsec esp/transport//require;

   /etc/racoon/racoon.conf 
   path pre_shared_key "/etc/racoon/psk.txt";
   remote anonymous {
      exchange_mode main,aggressive;
      lifetime time 24 hour;
      # nat_traversal on;
      script "/etc/opennhrp/racoon-ph1down.sh" phase1_down;
      proposal {
         encryption_algorithm 3des;
         hash_algorithm sha1;
         authentication_method pre_shared_key;
         dh_group 5;
      }
   }
   sainfo anonymous {
      lifetime time 12 hour;
      encryption_algorithm 3des, blowfish 448, rijndael;
      authentication_algorithm hmac_sha1, hmac_md5;
      compression_algorithm deflate;
   }

   /etc/racoon/psk.txt
   10.2.0.90 1234

   /etc/opennhrp/opennhrp.conf
   interface gre1
      map 172.255.255.1/24 10.2.0.90 register cisco
      cisco-authentication 1234
      shortcut

No get the Tunnel UP:

   ip tunnel add gre1 mode gre key 1234 ttl 64
   ip addr add 172.255.255.2/24 dev gre1
   ip tunnel change gre1 local 10.0.81.115
   ip link set gre1 up

Now its time to get on the other side.

We are using a Cisco 1812 with c181x-advsecurityk9-mz.124-15.T7.bin running.

   crypto isakmp policy 10
      encr 3des
      authentication pre-share
      group 5
   !
   crypto isakmp key 1234 address 0.0.0.0 0.0.0.0
   !
   crypto ipsec transform-set TRANSFORMSET_3 esp-3des esp-sha-hmac
      mode transport
   !
   crypto ipsec profile Profile3
      set transform-set TRANSFORMSET_3
   !
   interface Tunnel888
      ip address 172.255.255.1 255.255.255.0
      no ip redirects
      no ip unreachables
      no ip proxy-arp
      ip mtu 1400
      ip flow ingress
      ip nhrp authentication 1234
      ip nhrp map multicast dynamic
      ip nhrp network-id 10064
      ip nhrp holdtime 360
      ip nhrp max-send 200 every 10
      ip route-cache same-interface
      ip tcp adjust-mss 1350
      load-interval 30
      tunnel source 10.2.0.90
      tunnel mode gre multipoint
      tunnel key 1234
      tunnel protection ipsec profile Profile3

and viola

   Router# sh dmvpn interface tunnel 888
   Load for five secs: 8%/3%; one minute: 9%; five minutes: 10%
   Time source is NTP, 22:14:22.148 CET Sat Feb 14 2009
   Legend: Attrb --> S - Static, D - Dynamic, I - Incompletea
   N - NATed, L - Local, X - No Socket
   # Ent --> Number of NHRP entries with same NBMA peer
   Tunnel888, Type:Hub, NHRP Peers:1,
   # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
   ----- --------------- --------------- ----- -------- -----
   1 10.0.81.115 172.255.255.2 UP never D

   Router# ping 172.255.255.2
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 172.255.255.2, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms

this looks great:-)
Many thanks Timo for doing such a impressiv work. I like the cisco for they impressiv boxes and i also like opensource software.

--- edit February 15, 2009 at 12:09 am ---

I found after a while no packets traveling, the nhrp registration had gone on the cisco side may be holdtimers differ so added "holding-time 360" to the opennhrp.conf , a opennhrpctl purge fixed the problem.

We have 1234567890

We have 1234567890 regarding to Unix-Time:

$ date -d @1234567890
Sa 14. Feb 00:31:30 CET 2009

Wash me till i am clean

Belkin hat eine waschbare Maus heraus gebracht.

Na also da brauch ich mir keine Gedanken wegen meines Kaffeekonsums und meiner Maus zumachen, bleibt nur die Frage offen, ob man die Maus auch in den Trockner geben darf?

A Valentine’s Day Gift Idea

Das ist doch mal ein Valentines Geschenk. Was denkt ihr?

Packetcapture auf der WAAS

Kürzlich hab ich entdeckt das man auf der WAAS Packete mit schneiden kann.

Auf der WAE ist tcpdump installiert, den kann man in der gewohnten weise zum sniffern gebrauchen.

# tcpdump -s 0 -w /local1/out.pcap
# copy disk ftp a.x.y.z / out.pcap /local1/out.pcap
# delfile /local1/out.pcap

Der Rest ist dann ganz normale Arbeit für wireshark.

wordpress blog

Hab entschieden das blog hier in Deutsch zubelassen und das Blog auf wordpress.com in English zuführen.

Wordpress as Blog

Thinking about to move my blog to wordpress.com
Today i have registered my blog under http://patrickpreuss.wordpress.com

oh its really nice form wordpress to import my old blog:-)

The top 10 tracks of 2008

2K8 is history :-( so now it is time for a top 10 :-)
2008 ist Geschichte :-( es ist zeit für eine Top 10 :-)

1	Linkin Park – One Step Closer
2	AC/DC – Back in Black
3	Metallica – Enter Sandman
4	Linkin Park – Hands Held High
5	Linkin Park – Bleed It Out
6	Peter Fox – Alles Neu
7	AC/DC – Shoot to Thrill
8	KoЯn – Got the Life
9	KoЯn – Freak on a Leash
10	Linkin Park – Given Up

Ich wuste es doch meine Router sind Telephone

So So ich wuste es doch meine Router sind Telephone oder doch nicht. Nach dem wir auf unseren Zentralen DMVPN Routern das 12.4.15T7 IOS Release eingespielt hatten, sahen wir einen massiven Anstieg im Memory duch den CDP Process. Ein Debug der cdp events ergab folgende Log Meldungen:

Jan 19 12:12:51.513 UTC: CDP-EV: Lookup for ip phone with idb= Tunnel105 ip= a.b.x.y mac= 0000.0000.0000 platform= Cisco 1721
Jan 19 12:12:51.517 UTC: CDP-EV: Lookup for ip phone with idb= Tunnel105 ip= a.b.x.y mac= 0000.0000.0000 platform= Cisco 1812
Jan 19 12:12:52.141 UTC: CDP-EV: Lookup for ip phone with idb= Tunnel105 ip= a.b.x.y mac= 0000.0000.0000 platform= Cisco C836
Funny, mal sehen was das heist:-)

Cisco WAAS mit IOS Router

Die Configuration auf einem IOS Router ist analog zu der Configuration auf den Switchen, deshalb werd ich die hier nicht wiederholen.
Die Configuration auf der WAAS wird nicht fest configuriert sondern über wccp ausgehandelt.

wccp router-list 1 10.2.0.145
wccp tcp-promiscuous router-list-num 1
wccp version 2
egress-method negotiated-return intercept-method wccp

Cisco WAE und 3560

Hi
hm was auf den Routern so einfach ist kann einen auf dem Switch zu verzweiflung bringen.

Also erstmal den Switch auf die 12.2 46 SE IP Services updaten, und auf das SDM Template auf IP Routing umstellen.
SDM steht hier für Switch Database Manager, mit diesem kann man die 3560 Switche fuer verschiedene einsatz Gebiete optimieren.

conf t
sdm prefer routing
end
write
reload

nach dem reload haben wir dann folgende Einstellungen:

switch#sh sdm prefer
The current template is "desktop routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

number of unicast mac addresses:                  3K
number of IPv4 IGMP groups + multicast routes:    1K
number of IPv4 unicast routes:                    11K
  number of directly-connected IPv4 hosts:        3K
  number of indirect IPv4 routes:                 8K
number of IPv4 policy based routing aces:         0.5K
number of IPv4/MAC qos aces:                      0.5K
number of IPv4/MAC security aces:                 1K

Auf dem Switch dann WCCPv2 wie folgt konfiguriern:

ip wccp 61 redirect-list acl-wccp-61
ip wccp 62 redirect-list acl-wccp-62
!
interface FastEthernet0/21
description Switch <-> wave
no switchport
ip address 10.0.136.9 255.255.255.248
no ip proxy-arp
!
interface Vlan 1
description LAN
no switchport
ip address 10.0.136.1 255.255.255.248
ip wccp 61 redirect in
!
interface FastEthernet0/24
description WAN
no switchport
ip address 10.0.134.81 255.255.255.0
ip wccp 62 redirect in
!
ip access-list extended acl-wccp-61
permit tcp 10.0.0.0 0.0.255.255 10.0.136.0 0.0.0.255
permit tcp 10.0.0.0 0.0.255.255 10.0.137.0 0.0.0.255
deny   ip any any
ip access-list extended acl-wccp-62
permit tcp 10.0.136.0 0.0.0.255 10.0.0.0 0.0.255.255
permit tcp 10.0.137.0 0.0.0.255 10.0.0.0 0.0.255.255
deny   ip any any
!

Auf der WAVE oder WAE WCCPv2 wie folgt konfigurien:

interface GigabitEthernet 1/0                   
  ip address 10.0.136.10 255.255.255.248          
!
ip default-gateway 10.0.136.9               
!
wccp router-list 1 10.0.136.9               
wccp tcp-promiscuous router-list-num 1 l2-redirect mask-assign                         
wccp version 2

Dann viel spass mit der WAVE:

switch#sh ip wccp 61 detail
Load for five secs: 5%/0%; one minute: 7%; five minutes: 6%
Time source is NTP, 14:40:49.402 UTC Thu Jan 15 2009

      WCCP Client ID:          10.0.136.10
      Protocol Version:        2.0
      State:                   Usable
      Redirection:             L2
      Packet Return:           GRE
      Packets Redirected:    0
      Connect Time:          00:53:54
      Assignment:            MASK

      Mask  SrcAddr    DstAddr    SrcPort DstPort
      ----  -------    -------    ------- -------
      0000: 0x00001741 0x00000000 0x0000  0x0000

      Value SrcAddr    DstAddr    SrcPort DstPort CE-IP
      ----- -------    -------    ------- ------- -----
      0000: 0x00000000 0x00000000 0x0000  0x0000  0x0A00880A (10.0.136.10)
           .... outout omited ......
      0063: 0x00001741 0x00000000 0x0000  0x0000  0x0A00880A (10.0.136.10)

DynDNS mit einem Cisco Router

ip ddns update method dyndns
HTTP
add http://:@members.dyndns.org/nic/update?system=dyndns&hostname=>h<&myip=>a<
interval
maximum 1 0 0 0
!
interface Dialer 1
ip ddns update hostname haha.homelinux.org
ip ddns update dyndns

Frohe Weihnachten

Visitenkarten Scanner

Das W960i von Sony Ericsson hat die Funktion aus einem Photo einer Visitenkarte die Informationen als Kontakt ablegen zu können.

Cool oder.

Sony Ericson W960i oder doch Nokia N95

Gestern hab ich mal mein Nokia N95 gegen das Sony Ericsson W960i von meinem Kollegen getauscht. Dank iSync war das eine Sache von ein paar Minuten alle Daten (Kalendar, Addressen) zu sichern, die Photos sind durch das Nokia Multimedia Transfer Tool schon in iPhoto gesichert, hier wäre es noch cool wenn die auch bei einem normalen Sync mit iSync abgeholt werden.

Standard mässig wird das W960i nicht von iSync erkannt, aber man findet im Internet ein freies Plugin für das Handy, kurz das Plugin nach "/Library/PhonePlugins" und viola iSync kann auch mit dem W960i syncen.

Hm werd das wohl erstmal bis nach Neujahr behalten, damit ich das richtig Testen kann.

Sony Ericsson W960i Plugin

Recovery von einem System mit dd und smb

Wie bekommt man ein laufendes Windows System geklont?

Na das ist recht einfach man nehmen dd für Windows und erstelle auf einem FileServer ein Image der Platten.

dd if=\\?\Device\Harddisk3\Partition0 of=q:\img.dd bs=2M

Dann kann man dieses Image mit einer Ubuntu CD auf jeden anderen Rechner übertragen.


root@ubuntu:~# smbget -r -u <user> -p <passwd> -w <workgroup> smb://10.0.242.210/share/img.dd -O | dd of=/dev/sdb

Ubuntu Wiki DD
smbget

Edit:

Es hatte sich ein Fehler eingeschlichen, der Fehler bezieht sich auf eine Ubuntu 7.10 Distribution.
smbget gibt auf stdout folgende Zeilen am Anfang der Uebertragung aus:

read_socket_with_timeout: timeout read. read error = Connection reset by peer.
Receiving SMB: Server stopped responding

damit ist dann keine gueltige Partitionstabelle vorhaden und man kann mit der Festplatte nichts anfangen.
Vielleicht ist das in einer neueren Samba Version behoben.

IPTV mit T-Home

Um IPTV mit einem Cisco Router ans rennen zu bekommen muss ein igmp Proxy auf dem Cisco Configuriert werden. Die nachfolgende Konfiguration ist aus der Cisco Dokumention abgeleitet, es kann sein das noch die Timer angepasst werden müssen. Da ich selber keinen VDSL Zugang habe ist das noch einwenig Theorie.

--- snip ---
ip multicast-routing
ip igmp snooping
!
interface Vlan1
  ip pim sparse-dense-mode
  ip igmp helper-address udl Dialer 2
  ip igmp version 3
  ip igmp mroute-proxy Dialer 2
!
interface Dialer 2
  ip pim sparse-dense-mode
  ip igmp version 3
  ip igmp unidirectional-link
!
--- snip ---

Cisco Customizing IGMP

Bitte vergest nicht auch die Firewall regeln Anzupassen:

--- snip ---

ip access-list extended OUTSIDE

  9 permit ip any 224.0.0.0 15.255.255.255



--- snip --- 

Alternativ sollte auch folgende Konfiguration gehen.

--- snip ---

ip access-list extended OUTSIDE

  7 permit ip 217.0.119.0 0.0.0.255 224.0.0.0 15.255.255.255

  8 permit ip 193.158.35.0 0.0.0.255 224.0.0.0 15.255.255.255

--- snip ---

Zum Testen habe ich folgenden Aufbau gewählt: Als Telekom Router Cisco 1712

--- snip ---
ip multicast-routing
!
interface FastEthernet 0
  description to Customer
  ip address 192.168.2.2 255.255.255.0
  ip pim sparse-dense-mode
  
!
interface Ethernet 0
  description to IPTV Server
  ip address 192.168.4.1 255.255.255.0
  ip pim sparse-dense-mode
!
--- snip ---

Als Home Router Cisco 1812

--- snip ---
ip multicast-routing
ip igmp snooping
!
interface Vlan 1
  description IPTV Client
  ip address 192.168.200.1 255.255.255.0
  ip igmp helper-address udl Vlan 2
  ip igmp version 3
  ip igmp mroute-proxy Vlan 2
  ip pim sparse-dense-mode
!
interface Vlan 2
  description to Internet
  ip address 192.168.2.1 255.255.255.0
  ip igmp version 3
  ip pim sparse-dense-mode
  ip igmp version 3
  ip igmp unidirectional-link
!
--- snip ---

Als IP TV Server Apple Macbook 13' OS X 10.5.6 VLC 0.9.8 zum Starten des Streams hab ich den "Netzwerk Streaming Assistenten" verwendet. Die Stream Parameter sind "UDP Multicast", 239.0.0.42, TTL 10 und natürlich ein Video;-) Als Multicast Receiver diente ein IBM ThinkCenter R51 oder so mit Windows und VLC 0.9.8 installiert.

IP Multicast Routing

Unter IP Multicasting versteht man die Technik Daten, z.B. Video, an mehrer Teilnehmer zu verteilen.

IP Multicasting gibt es unter IPv4 und IPv6.

Einen Schnellen einstieg in die Configuration auf Cisco Routern bietet follgender Quick Start Guide. Weiterführend kann ich euch das Buch "Routing TCP/IP Volume II" empfehlen oder Cisco IOS IP Multicast Configuration Guide, Release 12.4.

Als Multicast Sender und Empfänger kann man VLC nehmen. Wir haben mit zwei 1700er Routern eine einfache Multicast Configuration auf gesetzt.

VideoLAN

Es gibt zwei Möglichkeiten VLC als Streaming Server einzusetzen, die erste Möglichkeit ist die Einrichtung über die Wizards, diese sind selbst erklärend, deshalb werde ich hier auf eine Beschreibung verzichten.

Streaming Server

Der vlc player kann auch über die CLI gesteuert werden. Hier ein einfaches Beispiel zum Starten eines Multicast Streams: vlc -vvv input.mpeg --sout udp:239.0.0.42 --ttl 12 Der Output der Logmeldungen mit "-v" eingrenzen.

Client

vlc udp:@239.0.0.42

Multicast HOWTO

Cisco Router Basic Multicast Configuration

--- snip ---
!
ip multicast-routing
!
! Startet das Multicast Routing
!
interface FastEthernet 0/0
  ip pim sparse-dense-mode
!
interface FastEthernet 0/1
  ip pim sparse-dense-mode
!
--- snip ---

Commands

show ip mroute

Ein anderer Blog Client

Ein anderer Blog Client für OS X ist "ecto".

Wie MarsEdit ist dieser auch Offline fähig.

VDSL

Das Thema Cisco Router mit einem von den neuen VDSL Anschlüssen ans rennen zu bekommen ist nicht weiter schwierig. Hier ein paar Beispiele: Bei Routern die nur einen eingebauten Switch besitzen, z.B. Cisco 876:

--- snip ---
vlan 7
  name VDSL-VLAN
!
interface FastEthernet 8
  switchport mode trunk
  switchport trunk allowed vlan 1,7,1002-1005
!
interface Vlan 7
  description VLAN fuer VDSL
  no ip address
  pppoe enable group global
  pppoe-client dial-pool-number 1
!
interface Dialer 0
  ip address negotiated
  ip mtu 1452
  ip nat outside
  ip virtual-reassembly
  encapsulation ppp
  ip route-cache policy
  ip route-cache flow
  dialer pool 1
  dialer idle-timeout 0
  dialer persistent
  dialer-group 1
  ppp authentication chap pap callin
  ppp pap sent-username <user>@t-online.de password 0 <password> 
!
--- snip ---

Bei anderen Modellen kann man auch eines der Routing interface nehmen.

--- snip ---
interface FastEthernet 0.7
  encapsulation dot1q 7
  pppoe enable group global
  pppoe-client dial-pool-number 1
!
interface Dialer 0
  ip address negotiated
  ip mtu 1452
  ip nat outside
  ip virtual-reassembly
  encapsulation ppp
  ip route-cache policy
  ip route-cache flow
  dialer pool 1
  dialer idle-timeout 0
  dialer persistent
  dialer-group 1
  ppp authentication chap pap callin
  ppp pap sent-username <user>@t-online.de password 0 <password> 
!
--- snip ---

Mail nur über den 2en Internet Service Provider

Um mit den Cisco Routen Mail nur über einen Provider zu versenden, muss eine Policy Route erstellt werden die den Verkehr erstellt werden.

--- snip ---
ip access-list extended SERVER-RT-MAP-ACL
  10 permit tcp host 192.168.20.1 any eq smtp
!
route-map SERVER-RT-MAP permit 10
  match ip address SERVER-RT-MAP-ACL
  set interface Dialer1
!
interface FastEthernet 0
  ip policy route-map SERVER-RT-MAP 
--- snip ---

Blog Client für OS X

Da ich zur Zeit bei mir zu Hause keinen Interzugang mit Flatrate habe sondern nur über einen Vodafone UMTS zugang über das Nokia N95 verfühge. Sind meine Online Zeiten auf ca. 200 MB im Monat beschränkt. Deshalb hab ich mich auf die Suche nach einem Offline fähigen Blogger Client begeben und bin auf MarsEdit gestossen, diesen kann man für 30 Tage testen, mal sehen wie er ist. Die zusammen arbeit mit Blogger.com schein ohne Probleme zu gehen. Fehlt jetzt nur noch ein Client für das Nokia N95 mit ähnlichen Funktionen.

NAT mit zwei Internet Providern

Eine subere Verbindung ins Internet mit Zwei Providern zu bekommen ist nicht so einfach mit folgender Configuration zu lösen.

Nicht funtionierende Lösung

--- snip ---
interface FastEthernet 0
  description LAN
  ip address 192.168.20.1 255.255.255.0
  ip nat inside
!
interface Dialer 1
  description Provider 1
  ip nat outside
!
interface Dialer 2
  description Provider 2
  ip nat outside
!
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.20.0 0.0.0.255
!
ip nat inside source list 1 interface Dialer 1 overload
ip nat inside source list 2 interface Dialer 2 overload
!
ip route 0.0.0.0 0.0.0.0 Dialer 1
ip route 0.0.0.0 0.0.0.0 Dialer 2
--- snip ---</pre>

Hier bei kommt es dann zu lustigen Effekten mit den Source Addressen. 
Bzw. durch Packet basiertes Load Balancing kann es sein das nichts Funktioniert oder man im besten Fall nur den Upload verbessert hat.

Die von uns geforterte Configuration benötigte noch das Goodie das ausgehende E-Mails nur über den zweiten Provider zu versenden sind. Da hinter dem Router ein Mail Server mit eigener Domain betrieben wird. 
Dazu aber in einem anderen Posting mehr. 

<h3>Die Lösung könnte folgendermaßen aussehen:</h3>

<pre>--- snip ---
interface FastEthernet 0
  description LAN
  ip address 192.168.20.1 255.255.255.0
  ip nat inside
!
interface Dialer 1
  description Provider 1
  ip nat outside
!
interface Dialer 2
  description Provider 2
  ip nat outside
!
access-list 1 permit 192.168.20.0 0.0.0.255
!
! Die ACL definiert den Verkehr der durch den NAT Process geschickt wird. 
!
route−map dialer1−nat permit 10
match ip address 1
match interface Dialer1
!
route−map dialer2−nat permit 10
match ip address 1
match interface Dialer 2
!
! Die Route-Maps binden die NAT Acl an das ISP Seitige Interface des Routers.
! 
ip nat inside source route−map dialer1−nat interface Dialer1 overload
ip nat inside source route−map dialer2−nat interface Dialer2 overload
!
!
!
ip route 0.0.0.0 0.0.0.0 Dialer 1
ip route 0.0.0.0 0.0.0.0 Dialer 2
!
--- snip ---

Überprüfung

show ip nat translation Zeigt die aktuellen NAT Sessions an.

show ip route Zeigt die Aktiven Routen an.

Weiter gehende Informationen findet ihr unter folgendem Link: Cisco IOS NAT Load-Balancing and Zone-Based Policy Firewall with Optimized Edge Routing For Two Internet Connections

Küche

Meine Küche ist da dann fehlt ja jetzt nur noch die Füllung.;-)

Serial Console unter Debian

http://www.howtoforge.com/setting_up_a_serial_console Edit: /boot/grub/menu.lst

--- snip ---
# password topsecret
serial --unit=0 --speed=9600 --word=8 --parity=no --stop=1
terminal --timeout=10 serial console
--- snip ---

--- snip ---
title           Ubuntu 8.10, kernel 2.6.27-7-server
uuid            b25570ad-6302-4637-a897-d7a4cebf4a7f
kernel          /boot/vmlinuz-2.6.27-7-server root=UUID=b25570ad-6302-4637-a897-d7a4cebf4a7f ro quiet splash console=tty0 console=ttyS0,34800n8
initrd          /boot/initrd.img-2.6.27-7-server
--- snip ---

Edit: /etc/event.d/ttyS0

--- snip ---
# ttyS0 - getty
#
# This service maintains a getty on tty1 from the point the system is
# started until it is shut down again.

start on stopped rc2
start on stopped rc3
start on stopped rc4
start on stopped rc5

stop on runlevel 0
stop on runlevel 1
stop on runlevel 6

respawn
exec /sbin/getty -L ttyS0 38400 vt100
--- snip ----

Damit hätten wir dann eine Serielle Console auf der WAVE:-)

WAVE-274#virtual-blade 1 session
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Boot from (hd0,0) ext3   b25570ad-6302-4637-a897-d7a4cebf4a7f
Starting up ...
Loading, please wait...
Couldnt get a file descriptor referring to the console
19+0 records in
19+0 records out
kinit: name_to_dev_t(/dev/sda5) = dev(8,5)
kinit: trying to resume from /dev/sda5

--- output omited ---

Ubuntu 8.10 ubuntu ttyS0

ubuntu login: admin
Password:
Last login: Mon Dec  8 13:34:36 CET 2008 on ttyS0
Linux ubuntu 2.6.27-7-server #1 SMP Fri Oct 24 07:37:55 UTC 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

System information as of Mon Dec  8 13:40:01 CET 2008

System load: 0.02             Memory usage: 5%   Processes:       46
Usage of /:  5.8% of 9.38GB   Swap usage:   0%   Users logged in: 0

Graph this data and manage this system at https://landscape.canonical.com/

admin@ubuntu:~$

So dann nur noch ein Backup und dann go baby go.

admin@ubuntu:~$ sudo su -
root@ubuntu:~# halt

Broadcast message from admin@ubuntu
      (/dev/ttyS0) at 13:43 ...

The system is going  * Saving the system clock
* Stopping firewall: ufw...                                             [ OK ]
* Asking all remaining processes to terminate...                        [ OK ]
* All processes ended within 2 seconds....                              [ OK ]
* Deconfiguring network interfaces...                                   [ OK ]
* Deactivating swap...                                                  [ OK ]
* Unmounting local filesystems...                                       [ OK ]
* Will now halt
halt: Unable to iterate IDE devices: No such file or directory
[  522.482593] Power down.
Connection closed by foreign host.

WAVE-274#copy virtual-blade 1 disk 1 ftp 192.168.200.5 / WAVE-274-LX.vb
Enter username for remote ftp server: ftp
Enter password for remote ftp server:

2460112690 bytes total
WAVE-274#

Backup und Recovery der WAVE Virtual Blades

WAVE-274#sh virtual-blade 1 virtual-blade 1 config: device cpu qemu32 device nic rtl8139 device disk IDE memory 512 disk 10 no boot fd-image boot cd-image disk /local1/vbs/lxserver.iso boot from disk interface 1 bridge GigabitEthernet 1/0 mac-address 00:16:3E:FF:FF:FF no autostart state: stopped

Backup

WAVE-274#copy virtual-blade 1 disk 1 ftp 192.168.200.5 / WAVE-274-LX.vb Enter username for remote ftp server: ftp Enter password for remote ftp server: 2460112570 bytes total WAVE-274#

Recovery

WAVE-274#copy ftp virtual-blade 1 disk 1 192.168.200.5 / WAVE-274-LX.vb This will delete the existing disk image. Are you sure you want to proceed? [no]:yes Enter username for remote ftp server: ftp Enter password for remote ftp server: Downloading 10GiB disk image 6314905600 bytes total

The Truth is out there

Einige Wahrheiten über Netzwerke;-)

IOS Tastatur Hints

IOS Tastatur Hints

Ctrl+B or Left	Move the cursor one character to the left
Ctrl+F or Right	Move the cursor one character to the right
Esc, B	Move the cursor one word to the left
Esc, F	Move the cursor one word to the right
Ctrl+A	Move cursor to the beginning of the line
Ctrl+E	Move cursor to the end of the line
Ctrl+P or Up	Retrieve last command from history
Ctrl+N or Down	Retrieve next command from history
Ctrl+T	Swap the current character with the one before it
Ctrl+W	Erase one word
Ctrl+U	Erase the entire line
Ctrl+L	Reprint the line
Ctrl+C	Exit configuration mode
Ctrl+Z	Apply the current command and exit configuration mode

NAT Order of Operation

Ein sehr praktisches Dokument: NAT Order of Operation Hier noch ein ergänzung von IOS Hints: NAT translation logging IOS Order of Operation

Ubuntu on WAVE

Ha geht doch. Linux auf der WAVE WAVE-274# copy ftp disk 192.168.200.5 / ubuntu-8.10-server-i386.iso /local1/vbs WAVE-274# conf t WAVE-274(config)# virtual-blade 1 WAVE-274(config-vb)# boot cd-image disk /local1/vbs/lxserver.iso WAVE-274(config-vb)# exit WAVE-274(config)# exit WAVE-274#sh virtual-blade 1 virtual-blade 1 config: device cpu qemu32 device nic rtl8139 device disk IDE memory 512 disk 10 no boot fd-image boot cd-image disk /local1/vbs/lxserver.iso boot from cd-rom interface 1 bridge GigabitEthernet 1/0 mac-address 00:16:3E:FF:FF:FF no autostart state: stopped WAVE-274#virtual-blade 1 start Auf dem PC dann:

Nach der Installation traf es mich dann: WAVE-274# reload Das Boot device lies sich nur mit aus geschalteter VM um biegen. Kann sein das ich ein wenig ungeduldig war:-) Etwas mehr gedult und das geht auch. Noch einmal von CD Starten und Installiertes System starten. WAVE-274#sh virtual-blade 1 virtual-blade 1 config: device cpu qemu32 device nic rtl8139 device disk IDE memory 512 disk 10 no boot fd-image boot cd-image disk /local1/vbs/lxserver.iso boot from cd-rom interface 1 bridge GigabitEthernet 1/0 mac-address 00:16:3E:17:DF:5C no autostart state: stopped WAVE-274#conf t WAVE-274(config)#virtual-blade 1 boot from disk WAVE-274(config)# WAVE-274#virtual-blade 1 start und voilà!

Das ist so Grün

Haben dann mal an Wohnzimmer 1.1 gearbeitet.

Windows on WAVE

Hm der Test mit Ubuntu von CD ROM war nicht ganz erfolgreich. Das wollte einfach nicht starten. Heute der Versuch mit dem Windows 2008 Server ISO File verlief dann schon besser :-) aber noch ist nicht aller Tage abend. Also auf Console commt man mit dem vncclient 192.168.200.2:1

Also dann viel Spass.

--- snip ---
virtual-blade enable
virtual-blade 1
device cpu qemu32
device nic rtl8139
device disk IDE
memory 512
disk 10
boot cd-image disk /local1/vbs/winserver.iso
boot from cd-rom
interface 1 bridge GigabitEthernet 1/0
  no autostart
exit
--- snip ---

Dann wae# copy ftp disk 192.168.200.5 / winserver.iso /local1/vbs/winserver.iso und dann wae# virutal-blade 1 start auf dem PC dann Cisco WAAS Installation and Configuration Guide for Windows on a Virtual Blade

He mein neuer PC ist da.

Heute kammen die neuen WAVE Boxen von Cisco an die WAVE-274 sieht aus wie ein PC. Na das beste ist auf dem Ding kann man auch noch eine Virtuele Machine laufen lassen:-) Cisco Wide Area Application Engine Console Username: admin Password: System Initialization Finished. WAVE-274#sh ver Cisco Wide Area Application Services Software (WAAS) Copyright (c) 1999-2008 by Cisco Systems, Inc. Cisco Wide Area Application Services Software Release 4.1.1c (build b16 Nov 5 2 008) Version: oe274-4.1.1c.16 Compiled 10:10:31 Nov 5 2008 by cnbuild System was restarted on Thu Dec 4 08:56:47 2008. The system has been up for 5 minutes, 22 seconds. WAVE-274#sh virtual-blade 1 virtual-blade 1 config: device cpu qemu64 device nic rtl8139 device disk IDE memory 512 disk 10 no boot fd-image no boot cd-image boot from disk interface 1 bridge GigabitEthernet 1/0 mac-address 00:16:3E:FF:FF:FF no autostart state: stopped

Was passiert wenn man Putty mit einem Squid kreuzt?

Dann kann man jeden Host mit SSH im Internet erreichen:-) Na dann mal los.

Schlafzimmer Part 3

Na wer sagt den das Fortsetzungen immer schlecht sind.

Schlafzimmer Part 2

Mein Router hat 8GB Flash

Wow wer hätte das gedacht das man das mit einem einfachen USB Stick von CN machen kann. Router# *Nov 24 15:46:07.183: %USBFLASH-5-CHANGE: usbflash0 has been inserted! Router#dir usbflash0: Directory of usbflash0:/ 8345026560 bytes total (6941126656 bytes free) Router# *Nov 24 15:46:24.183: %USBFLASH-5-CHANGE: usbflash0 has been removed! *Nov 24 15:46:24.419: %USB_HOST_STACK-5-USB_ENUM_FAIL_GETDESCR: Failed to enumerate a USB device as not able to read the device's description. Router# Upgrade 2800 series router to support USB boot Die 2800 und 3800er Router scheinen von USB booten zu können aber die 1800er (1812) noch nicht.

Utilizing the New Packet Capture Feature

Hab ich was verpasst oder schreibt Cisco gerade das ganze IOS um. Utilizing the New Packet Capture Feature Troubleshooting and Fault Management

Hallo ich bin der neue;-)

Zumindest kommt man sich nach 4 Wochen Urlaub so vor. Meinen Arbeitsplatz hab ich erstmal wieder gefunden, war noch an dem Ort wo ich ihn verlassen habe. Sonst scheint auch alles beim Alten zusein. Also viel Spass diese Woche.

Schlafzimmer

Arte M

Nice Car

Gestern beim Kauf von meinen neuen M+S Reifen hab ich dieses Pracht exemplar eines Volvo 444 gesehen.

Block Skype Traffic on Cisco Router

Die Ciscos haben ein neues Konzept für die IOS Firewall implementiert. Mit dieser sollte auch das blocken von Skype möglich sein. ZoneBased Firewall Auf dem Ansatz der alten Lösung, Link, werd ich das ganze mal auf die ZBF übertragen. Hier der erste Ansatz:

--- snip ---
class-map type inspect http block-skype-class
match request method connect
!
class−map type inspect match−any private−allowed−class
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect inside-outside-policy
class type inspect http block-skype-class
 drop
 log
class type inspect private−allowed−class
 inspect
class class-default
!
! the good
zone security inside
!
! the bad 
zone security dmz
!
! and the ugly
zone security outside
!
! combine inside and outside
! traffic goes from inside to outside
zone-pair security inside-outside source inside destination outside
service-policy type inspect inside-outside-policy
!
interface FastEthernet 0
zone-member security inside
!
interface FastEthernet 1
zone-member security outside
!
--- snip ---

VRR und die Fahrplan auskunft

Nach dem nun die ersten Sachen in der Wohnung sind sollte ich mir auch mal den Weg zur arbeit anschauen. 

Da die Bushaltestelle direkt vor der Tür ist sollte das nicht das Problem sein. 

Beim VRR gibt es die Möglichkeit sich einen Link auf den Fahrplan zubauen, der 

Start und Ziel der Reise beinhaltet:-)  

Lass mich da mal Überraschen ob das so Funzt.

efa.vrr.de

So die Monster sind eingetroffen ;-)

Huch,

wo kommen den die 3 Meter Sofa her ???

Im Laden waren die doch nicht mal halb so gross oder :-)

Hier sollte sich MMap auch wohl fühlen ;-)

Barcodes und VCARD

Seit einiger Zeit scheint es möglich zu sein eine VCARD als Bardcode zu encoden. http://de.wikipedia.org/wiki/QR_Code http://trau.kainehm.de/2007/06/03/barcodes-in-2d/ http://photo.kaywa.com/roger/detail/430 http://reader.kaywa.com/

VDSL mit Cisco Routern

!
interface FastEthernet3
   description WAN to VDSL-Modem
   switchport mode trunk
!
interface Vlan7
  description VLAN fuer VDSL
  no ip address
  pppoe enable group global
  pppoe-client dial-pool-number 1
!
interface Dialer0
  ip address negotiated
  ip mtu 1452
  ip nat outside
  ip virtual-reassembly
  encapsulation ppp
  ip route-cache policy
  ip route-cache flow
  dialer pool 1
  dialer idle-timeout 0
  dialer persistent
  dialer-group 1
  ppp authentication chap pap callin
  ppp pap sent-username @t-online.de password 0 

VDSL mit Cisco Routern

!
interface FastEthernet3
  description WAN to VDSL-Modem
  switchport mode trunk
!
interface Vlan7
 description VLAN fuer VDSL
 no ip address
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Dialer0
 ip address negotiated
 ip mtu 1452
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache policy
 ip route-cache flow
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 ppp authentication chap pap callin
 ppp pap sent-username <user>@t-online.de password 0 <password>

kerberos und windows xp

Achtung kann üble Probleme machen. 

ksetup /SetRealm PATRICK-PREUSS.DE ksetup /AddKdc 10.0.12.32 ksetup /AddKpasswd PATRICK-PREUSS.DE 10.0.12.32 ksetup /SetComputerPassword somethingverysecret ksetup /MapUser rt01@PATRICK-PREUSS.DE rt01 C:\Documents and Settings\rt01>ksetup default realm = PATRICK-PREUSS.DE (external) 10.0.12.32: (no kdc entries for this realm) Realm Flags = 0x0 none PATRICK-PREUSS.DE: (no kdc entries for this realm) kpasswd = 10.0.12.32 Realm Flags = 0x0 none Mapping rt01@PATRICK-PREUSS.DE to rt01.

OpenLDAP ppolicy

--- snip /etc/ldap/slapd.conf --- # ppolicy schema include /etc/ldap/schema/ppolicy.schema moduleload ppolicy.la overlay ppolicy ppolicy_default "cn=default,ou=PasswordPolicy,dc=patrick-preuss,dc=de" ppolicy_use_lockout --- snip /etc/ldap/slapd.conf --- --- snip default.ldif --- dn: cn=default,ou=PasswordPolicy,dc=patrick-preuss,dc=de objectClass: device objectClass: pwdPolicy objectClass: top cn: default pwdAttribute: userPassword pwdAllowUserChange: TRUE pwdCheckQuality: 1 pwdExpireWarning: 432000 pwdFailureCountInterval: 0 pwdGraceAuthNLimit: 0 pwdInHistory: 0 pwdLockout: FALSE pwdLockoutDuration: 1920 pwdMaxAge: 7516800 pwdMaxFailure: 4 pwdMinLength: 6 pwdMustChange: TRUE pwdSafeModify: FALSE --- snip default.ldif --- --- snip peruser.ldif --- dn: cn=Patrick Marc Preuss,ou=People,dc=patrick-preuss,dc=de changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=noexpire,ou=PasswordPolicy,dc=patrick-preuss,dc=de --- snip peruser.ldif ---

Krb5 und LDAP

http://www.ibm.com/developerworks/db2/library/techarticle/dm-0809govindarajan/ kadmin.local: modpol -maxlife 180days -minlife 1hours -minlength 6 -minclasses 2 -history 10 default http://www.ncsa.uiuc.edu/UserInfo/Resources/Software/kerberos/multiple_principals.html

MIT Kerberos change password

kadmin.local -q 'cpw -pw somethingsecert rt01krb5'

mDNS und OpenLDAP

Zur Zeit schein der slapd noch keine API zu avahi zu haben. Also doch ein wenig Handarbeit:-) Mein Docu.

Kerberos und LDAP II

Normalerweise werden die Kerberos Attribute unter "cn=Kerberos,..." gespeichert. Es ist möglich diese unter der "ou=People,...." in einem Account zu speichern.

Kerberos und IOS

Cisco IOS 12.2 Configuring Kerberos Cisco IOS 12.4 Configuring Kerberos Cisco IOS 12.4T Configuring Kerberos moria# kadmin.local -q 'addprinc -randkey host/ws-c2940-8tt-s.patrick-preuss.de' moria# kadmin.local -q 'ktadd -e DES-CBC-CRC:NORMAL -k /var/www/ios.keytab host/ws-c2940-8tt-s.patrick-preuss.de@PATRICK-PREUSS.DE' --- Cisco IOS 121-22.EA11 --- aaa authentication login default krb5-telnet local krb5 aaa authentication login console-override local aaa authorization exec default local krb5-instance kerberos local-realm PATRICK-PREUSS.DE kerberos srvtab entry host/ws-c2940-8tt-s.patrick-preuss.de@PATRICK-PREUSS.DE 1 1224540392 3 1 8 0<=?;79;5<73>:>>: kerberos realm patrick-preuss.de PATRICK-PREUSS.DE kerberos realm .patrick-preuss.de PATRICK-PREUSS.DE kerberos server PATRICK-PREUSS.DE 10.0.12.32 kerberos instance map admin 15 kerberos credentials forward --- cisco --- --- Cisco IOS 124-15.T5 --- aaa authentication login default krb5-telnet krb5 local aaa authentication login console-override local ! Seams so 12.4 15 T 5 some bugs in kerberos code ! we should do some research in this point ! aaa authorization exec default local krb5-instance kerberos local-realm PATRICK-PREUSS.DE kerberos srvtab entry host/cisco1721.patrick-preuss.de@PATRICK-PREUSS.DE 1 1224539305 3 1 8 05>9898=<4504>?83 kerberos realm patrick-preuss.de PATRICK-PREUSS.DE kerberos realm .patrick-preuss.de PATRICK-PREUSS.DE kerberos server PATRICK-PREUSS.DE 10.0.12.32 kerberos instance map admin 15 kerberos credentials forward --- cisco ---

Krb5 und LDAP

MIT Kerberos 1.6.3 The Rough Guide to configuring a Solaris KDC to use a LDAP DS for the KDB # rm /etc/krb5kdc/kdc.conf # ln -s /etc/krb5.conf /etc/krb5kdc/kdc.conf --- /etc/krb5.conf --- [kdcdefaults] kdc_ports = 750,88 [libdefaults] default_realm = PATRICK-PREUSS.DE default_tgs_enctypes = des-cbc-crc default_tkt_enctypes = des-cbc-crc [realms] PATRICK-PREUSS.DE = { kdc = moria admin_server = moria acl_file = /etc/krb5kdc/kadm5.acl database_module = openldap_ldapconf default_domain = patrick-preuss.de master_key_type = des-cbc-crc supported_enctypes = des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3 } [domain_realm] .patrick-preuss.de = PATRICK-PREUSS.DE patrick-preuss.de = PATRICK-PREUSS.DE [login] krb4_convert = true krb4_get_tickets = false [kdc] database = { dbname = ldap:ou=Kerberos,dc=patrick-preuss,dc=de } [dbdefaults] ldap_kerberos_container_dn = cn=Kerberos,dc=patrick-preuss,dc=de database_module = openldap_ldapconf [dbmodules] openldap_ldapconf = { db_library = kldap ldap_kerberos_container_dn = cn=Kerberos,dc=patrick-preuss,dc=de ldap_kdc_dn = "cn=kdc-service,ou=ITAccounts,dc=patrick-preuss,dc=de" # this object needs to have read rights on # the realm container, principal container and realm sub-trees ldap_kadmind_dn = "cn=kdc-adm-service,ou=ITAccounts,dc=patrick-preuss,dc=de" # this object needs to have read and write rights on # the realm container, principal container and realm sub-trees ldap_service_password_file = /etc/krb5kdc/service.keyfile ldap_servers = ldap://moria ldap_conns_per_server = 5 } [logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log --- /etc/krb5.conf --- # kdb5_ldap_util -D "cn=Patrick Marc Preuss,ou=People,dc=patrick-preuss,dc=de" -w "somethingsecret" create -subtrees dc=patrick-preuss,dc=de -r PATRICK-PREUSS.DE -s # kdb5_ldap_util -H ldap://moria -D "cn=Patrick Marc Preuss,ou=People,dc=patrick-preuss,dc=de" -w "somethingsecret" stashsrvpw -f /etc/krb5kdc/service.keyfile "cn=kdc-adm-service,ou=ITAccounts,dc=patrick-preuss,dc=de" # kdb5_ldap_util -H ldap://moria -D "cn=Patrick Marc Preuss,ou=People,dc=patrick-preuss,dc=de" -w "somethingsecret" stashsrvpw -f /etc/krb5kdc/service.keyfile "cn=kdc-service,ou=ITAccounts,dc=patrick-preuss,dc=de" # kadmin.local -q 'addprinc kadmin/moria' # kadmin.local -q 'addprinc kadmin/moria.local' # kadmin.local -q 'addprinc kadmin/moria.patrick-preuss.de' # kadmin.local -q 'addprinc changepw/moria' # kadmin.local -q 'addprinc changepw/moria.local' # kadmin.local -q 'addprinc changepw/moria.patrick-preuss.de'

LDAP Authentication unter debain

Zur Docu.

Time Capsule

http://marc.info/?l=netatalk-devel&m=121076211716326&w=2

SUDO mit LDAP

Sudo kann seit einiger Zeit seine Konfiguration über LDAP beziehen. Coole Idee dann machen wird das auch :-) Meine Docu.

OpenLDAP setup unter Debian

Hab mir dann einen OpenLDAP unter Debian Sid gebaut. Meine Docu.

Huch was ist den hier los. Warum gehen meine Gäste?

Nach dem ich die Sourcen erweitert habe, bekomme ich folgenden Fehler: E: Dynamic MMap ran out of room Hm warum haut MMap ab? Gefällst dir hier nicht? Kein Problem wollte eh ein wenig Renovieren. Also dann mal Los. Die Lösung ist recht einfach.

Der Strolch braucht mehr Platz. 

  Eine Datei unter /etc/apt/apt.conf.d/ anlegen und mit dem Inhalt unten füllen. # vi /etc/apt/apt.conf.d/01mmap

--- snip --- APT::Cache-Limit "125000000"; --- snip ---

Die apt sources unter debian auf sid erweitern.

Folgende Zeile muss mit in die Sources List. File: /etc/apt/sources.list

deb http://ftp.de.debian.org/debian/ sid main

Danach noch ein # apt-get update durchführen und man hat die SID Packet beschreibungen auf dem Rechner;-)

WAAS NL

Die WAAS Boxen sind in NL agekommen:) Hoffe mal der Kollege bekommt diese heute noch in das Rack.

Cisco WAAS Setup

Die WAE's für die Centrale sind diese Woche angekommen:-) Fehlen nur noch die Geräte in den Niederlanden.

Was für ein Abend

Ich bin apple verückt;-)

72%How Addicted to Apple Are You?

OnePlusYou Quizzes and Widgets

Outdoor Wireless

Blok Skype Traffic

Mit Squid scheint es relative easy zu sein skype aus dem Netz zu bekommen. Mal schauen.

-- snip --
# Prevent Skype connecting HTTPs using CONNECT requests to IP addresses (those not using domain names)
acl numeric_IPs url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http_access deny CONNECT numeric_IPs all
# Prevent Skype connecting http
acl Skype_UA browser Skype
http_access deny Skype_UA
# Prevent anyone to download anything from skype website
acl Skype_domain dstdomain skype.com
http_access deny Skype_domain
-- snip --

merry xmas

xmas saufen in der tanke

War fast wie in alten Zeiten ziemlich daneben und absturz gefährdet;-)

öfter mal was neues

Bin da heute über Last.fm gestolpert. Ziemlich cool ;-) Nur schade das die iPod unterstützung ziemlich lag't.

xmas essen bei britti

nettes xmas essen bei dat britti;-)