Посоветуйте биллинг с wifi порталом авторизации для небольшого провайдера (2000 абонентов)

[Посоветуйте биллинг с wifi порталом авторизации для небольшого провайдера (2000 абонентов)]

Добрый день.

Прошу посоветовать мне несложный биллинг для 1000-2000 абонентов. Нужно чтобы он умел:

 

1. Имел веб-страницу авторизации клиентов wifi, работал бы с captive-порталами на мобильных устройствах.

2. Возможность несложного изменения оформления этой страницы авторизации wifi

3. Подключение СМС-шлюза для авторизации wifi

4. Массовую генерацию пар логин-пароль для той же авторизации wifi если вариант с СМС затруднён

5. Опционально обсчёт объёма потреблённого трафика через netflow

 

[Cisco ASA 5508, IPsec через резервный интернет-канал]

То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк?

Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть.

[Cisco ASA 5508, IPsec через резервный интернет-канал]

На ASA вижу вот такую строку конфига:

 

crypto map outside_map interface outside

 

А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк.

[Cisco ASA 5508, IPsec через резервный интернет-канал]

Доброго дня.

Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами. 

В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого. 

Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать?

[В логах мультикаст ругань вида %IGMP_QUERIER-4-SAME_SRC_IP_ADDR:]

Добрый день. В логах коммутатора Cisco  ругань вида:

 

Mar 28 2019 13:57:31: %IGMP_QUERIER-4-SAME_SRC_IP_ADDR: An IGMP General Query packet with the same source IP address (192.168.1.1) is received in VLAN 10 on port Gi1/0/4

 

В порту gi1/0/4 включена головная станция телевидения, у неё адрес 192.168.1.11

 

В конфиге свитча вижу такие строки:

 

!
interface Vlan10
 ip address 192.168.1.1 255.255.255.0

 

ip igmp snooping querier query-interval 125
ip igmp snooping querier

 

C2960X-bld2-lev20-20.7#sh ip igmp snooping querier vlan 10
IP address               : 192.168.1.1
IGMP version             : v2
Port                     : Gi1/0/4
Max response time        : 10s

 

 

Я в мультикасте ни бум-бум, как отключить ругань в логах?

[Cisco 7206VXR диагностика загрузки IPSec туннелей]

13 часов назад, RN3DCX сказал:

Кто-то стучится к вам в гости.

Какая схема Site to Site ? Hub to Spoke ?

 

Схема хаб энд споук, но в аксесс-листах, описывающих трафик для шифрования есть и  строки, позволяющие филиалам общаться друг с другом.

Убрать их?

Филиалам между собой общаться не нужно.

[Cisco 7206VXR диагностика загрузки IPSec туннелей]

Добрый день.

Имею Cisco 7206VXR, с неё протянуто три IPSec туннеля до филиалов.

В филиалах стоят ASA 5505.

 

Иногда на 7206 подскакивает загрузка процессора до 90 процентов, видно что наиболее жрущий процесс - это шифрование.

Как можно отыскать туннель, который загружен больше всего и вызывает такую нагрузку?

[Cisco 7206VXR уходит в ребут.. SegV exception]

R7206-itc-hp3 uptime is 2 hours, 20 minutes

System returned to ROM by error - a SegV exception, PC 0x517680 at 10:02:21 MSK Sat Aug 19 2017

System restarted at 10:04:06 MSK Sat Aug 19 2017

System image file is "disk2:c7200p-advipservicesk9-mz.122-33.SRD8.bin"

 

Доброго дня.

Маршрутизатор Циско 7206 уходит с самопроизвольный ребут.

Анализ файлов кршинфо ничего конкретного не говорит.

Что сделать? Поменять софт?

Смартнета нет так как железка скоро вообще будет end of support.

[Cisco 7206VXR, помогите определить состояние.]

Сегодня столкнулся с такой же проблемой, но годный модуль памяти найти не смог.

У меня эта железка оснащена ISG-функционалом (режет скорость клиентских сессий).

 

Что можно купить ему на замену, чтобы тоже циско и ISG-функционал в софте был?

[Рвётся IPSec с состоянием MM_NO_STATE]

Доброго дня.

Имею роутер Cisco 7206 и две Cisco ASA 5505. От роутера к обоим асам прокинут айписек.

На асах конфиги идентичны, отличаются только адреса внешних интерфейсов. Одна аса работает хорошо, а вторая раз в сутки начинает рвать айписек. Выглядит с роутера вот так:

 

R7206-lev3-306#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id status

61.147.0.14 178.21.66.28 QM_IDLE 1002 ACTIVE

61.147.0.14 178.21.66.28 MM_NO_STATE 1001 ACTIVE (deleted)

61.147.0.14 178.21.66.28 MM_NO_STATE 1100 ACTIVE (deleted)

61.147.15.129 61.147.17.7 QM_IDLE 1096 ACTIVE

61.147.0.14 178.21.65.162 QM_IDLE 1098 ACTIVE

 

Conn-id растёт раз за разом, аса инициирует установку тоннеля с роутером и раз за разом это не удаётся сделать. Через какое-то время это проходит, поработает сутки и снова карнавал.

Конфиги на асах сверял, всё совпадает, только софт на асах разных версий.

 

Что посмотреть и подебажить можно, коллеги?

Помогите, прошу.

[Проблема с BGP, глюки с одной из подсетей]

Спасибо большое.

Значит так, для всех моих подсетей /24 route в райпе указан как XX.XXX.0.0/19

 

А вот для той подсети где была проблема (xx.xxx.16.0/24) - route так и указан: xx.xxx.16.0/24

Схема была такая: чётные подсети /24 у меня анонсируются через Вымпелком, сетка xx.xxx.16.0/24 ушла в филиал, там тоже был Вымпелком, и она анонсировалась через вымпелком тоже. Потом сетку из филиала забрали, а прописана в райпе осталась как xx.xxx.16.0/24

[Проблема с BGP, глюки с одной из подсетей]

Так побито потому что несколько подсетей /24 отданы в филиалы и они не используются для раздачи адресов клиентам.

Хотя сама идея такого разбиения не моя.

 

Проблема с корейским сайтом ушла, он стал снова работать, я полагаю, что-то в корейском сегменте произошло, был массовый сбой по Корее и её сайтам у моих клиентов.

 

С роут объектами ещё разбираюсь.. не разбираюсь в этом вообще )))

[Проблема с BGP, глюки с одной из подсетей]

Коллеги, а вот вопрос такой:

я анонсирую через один аплинк сети (условно) 63.149.2.0/24 и 63.149.4.0/24

Через второй аплинк идут анонсы 63.149.3.0/24 и 63.149.5.0/24

Оба аплинка находятся в одном маршрутизаторе.

 

Если сеть (точнее, префикс) анонсирована через какой-то аплинк, то качать трафик из интернета клиенты в этой сети будут только через этот аплинк? Или через второй аплинк тоже в эту сеть трафик пойдёт?

[Проблема с BGP, глюки с одной из подсетей]

Кстати, кто подскажет как теперь в райп заходить, у меня есть логин и пароль от учётки, а теперь на сайте надо в качестве логина почту указывать...

[Проблема с BGP, глюки с одной из подсетей]

роутобьекты соответствуют реальности ?

 

Как это лучше проверить?

Вообще я припоминаю, что вот эта назначенная ранее в филиал сеть /24 прописана в райпе как-то отдельно...

 

Где трасса обрывается - в сети вашего провайдера или чуть не доходит до корейского сайта?

Трассы на другие сайты в мир ходят нормально?

 

Трасса рвётся где-то зарубежом, на другие сайты из этой подсети всё ходит нормально.

[Проблема с BGP, глюки с одной из подсетей]

Приветствую.

Имею IPv4 сеть с маской /19 и свой номер автономной системы, сеть порублена на подсети с маской /24.

Четные и нечётные подсети /24 анонсируется по BGP через два разных аплинка от двух разных провайдеров верхнего уровня.

 

Одна из подсетей /24 ранее была отдана филиалу моей организации и отдавалась в мир с тем же номером AS через маршрутизатор этого филиала. Затем сетка вернулась назад в центральный офис в дополнение к остальным.

У клиентов этой ранее выделенной в филиал подсети не ходит трассировка и пинг до одного корейского сайта. Другие подсети работают нормально.

 

В чём может быть затык?

[Авторизация клиентов на Cisco вай-фае по сертификатам]

Так, вроде сделал.

На Циско контроллере используется Local EAP с профилем PEAP.

Заводятся логины и пароли юзеров на контроллере, после этого на эпплах и андройдах всё работает.

На винде надо перед первым подключением создать профиль беспроводной сети, указать там шифрование WPA2 Enterprise (и его же указать на контроллере для SSID), и проверку сертификатов в винде отключить.

Вот видео, про которому разбирался:

 

[Авторизация клиентов на Cisco вай-фае по сертификатам]

почитал сегодня про ЕАР, спасибо за совет.

ЕАР требует установки на клиентские устройства каких-то утилит и сертификатов?

Во всех примерах описано подключение виндовых машин, и для подключения машина требует установленную специальную утилиту.

[Найти атакующую точку доступа средствами контроллера Cisco-5508]

Имею програму CommView, она поможет? Пока с ней не разбирался толком.

[Найти атакующую точку доступа средствами контроллера Cisco-5508]

Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать.

Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку?

У Cisco подавление называется Containment, а у прочих как?

[Найти атакующую точку доступа средствами контроллера Cisco-5508]

Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?

[Авторизация клиентов на Cisco вай-фае по сертификатам]

Переспрошу понятнее: как технически можно сделать так чтобы уволенные не могли логиниться по вайфаю? Что из области сесурити надо добавить?

[Авторизация клиентов на Cisco вай-фае по сертификатам]

Добрый день.

Имеем цисковский вай-фай (контроллер Cisco 5508 и lightweight точки доступа на нём). Есть корпоративный SSID, на нём WPA2-авторизация по паролю.

Как можно добавить какие-то сертификаты или что-то другое для устройств сотрудников, чтобы уволенный сотрудник больше не мог пользоваться корпоративным вай-фаем? Как это делается классически?

[Найти атакующую точку доступа средствами контроллера Cisco-5508]

Добрый день.

Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood.

По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать.

При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек.

 

Как можно локализовать местонахождение вражеских точек?

[Не открывается сайт https://cfd.mycmc.co.uk]

Добрый день.

Работаю в организации, имеющей свой блок адресов. От двух провайдеров получаем два full-view BGP. Железо всё от Cisco.

Не открывается сайт https://cfd.mycmc.co.uk

 

Пробовал перерулить сайт на другого провайдера, не того чей маршрут встал в таблицу - не помогает.

Что ещё посмотреть?

Мог ли админ сайта забанить мои белые внешние адреса?