Как Вы сетку анонсировали, что она у Вас в безинтерфейсный ипсек полетела?

Я не говорит что интерфейса там нет.

т.е. Вы проложили-таки какой-то туннель в транспортном ипсеке?

всмысле рекомендации от циски?

Да не только от Cisco. Есть куча форумов и кейсов, в которых говориться что ospf не работает поверх ipsec.

Да не только от Cisco. Есть куча форумов и кейсов, в которых говориться что ospf не работает поверх ipsec.

почему?

т.е. Вы проложили-таки какой-то туннель в транспортном ипсеке?

Ipsec у меня работает в туннельном режиме. Сорс и дестинейшн которого белые адреса. Этот туннель и заанонсирован

почему?

Почему они так говорят ?

почему не работает

почему не работает

Я понятия не имею почему они это утверждают. Ссылка есть выше

Я понятия не имею почему они это утверждают. Ссылка есть выше

этот документ почти 10летней давности

смысл на него ссылаться

смысл на него ссылаться

Смысл разобраться что изменилось и почему это работает. Или все работают по принципу вроде пашет и ладно ?

Смысл разобраться что изменилось и почему это работает. Или все работают по принципу вроде пашет и ладно ?

там в этом примере у него всё шифрование на пиксах настроено может он имел ввиду , что пиксы не особо умеют оспф по сути его схема, просто один из вариантов, который отличается от например этого http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/P2P_GRE_IPSec/P2P_GRE/2_p2pGRE_Phase2.html

там в этом примере у него всё шифрование на пиксах настроено может он имел ввиду , что пиксы не особо умеют оспф по сути его схема, просто один из вариантов, который отличается от например этого http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/P2P_GRE_IPSec/P2P_GRE/2_p2pGRE_Phase2.html

Да не. Как раз на асах уже на первых появилось PTP на оспф. Я сейчасх подгуглю - есть тонны статей в которых именно и говорить что если нужен оспф поверх ипсек - юзай гре.

And ты не сможешь поднять роутинг в crypto map based ipsec, но сможешь поверх routing based ipsec tunnels (ipip или gre)

в таком случае мультикаст будет работать в режиме репликации

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/V3PNIPmc.html

And ты не сможешь поднять роутинг в crypto map based ipsec, но сможешь поверх routing based ipsec tunnels (ipip или gre)

Да. Судя по тому что я нагуглил сейчас все статьи, которые я сейчас кину ниже, относятся к map based . И циско видимо имеет ввиду, что обычный режим это именно этот. Статейку сейчас почитаю. Спасибо за ответ.

смысл на него ссылаться

Вот о каких статьях я говорил http://xgu.ru/wiki/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_OSPF-%D1%81%D0%B5%D1%82%D0%B5%D0%B9_%D1%82%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D0%B5%D0%BC_%D0%BC%D0%B5%D0%B6%D0%B4%D1%83_%D0%B4%D0%B2%D1%83%D0%BC%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0%D0%BC%D0%B8_ASA_(%D0%B1%D0%B5%D0%B7_GRE) "Как правило, сообщениями протокола OSPF маршрутизаторы обмениваются, используя многоадресную пересылку (multicast). Между удалёнными друг от друга сетями multicast-трафик передаётся поверх GRE-туннелей. " ********** https://habrahabr.ru/sandbox/24327/ "Для организации защиты данных туннелей предполагается использовать стандарт IPsec. Раз топология должна быть полносвязной, то встает вопрос правильной маршрутизации данных. Списки доступа для шифрования вместе со статическими маршрутами для этого плохо подходят. Поэтому было решено запустить внутри туннелей протокол динамической маршрутизации. В качестве последнего принято решение использовать OSPF, а для его запуска в туннелях — протокол GRE (Generic Routing Encapsulation). Таким образом, возникла задача построить два GRE-туннеля, защищенных протоколом IPsec. " ******* https://www.opennet.ru/base/cisco/ipsec_gre_osp.txt.html Как правило, в обычных IPSEC конфигурациях, IPSEC не может    переносить протоколы маршрутизации, такие как EIGRP и OSPF или не-IP    трафик,например, IPX. Этот документ показывает как осуществить    маршрутизацию между двумя сетями, которые используют роутинговый    протокол OSPF по зашифрованному каналу связи (IPSEC) при помощи GRE    туннеля. ********* http://myitnotes.info/doku.php?id=en:jobs:vpn_gre_over_ipsec_1 "configure GRE over VPN for providing availability of OSPF routing." и ещё тонна есть и на juniper и на mikrotik А касательно vti IP security (IPsec) virtual tunnel interfaces (VTIs) provide a routable interface type for terminating IPsec tunnels and an easy way to define protection between sites to form an overlay network. IPsec VTIs simplify configuration of IPsec for protection of remote links, support multicast, and simplify network management and load balancing. Т.е. здесь так же намекается что это тема в отличае от ipsec в чистом сиде поддерживает мультикаст. ******* https://habrahabr.ru/post/170895/ Команда tunnel mode ipsec ipv4 указывает на использование VTI. Отличие от обычного GRE в методах инкапсуляции – в VTI экономится 4 байта путём исключения GRE-заголовка. Т.е. по факту строится GRE туннель но только срезается само поле GRE

And gre over ipsec отличается от vti не только экстра хедером

То есть факту не "строится gre tunnel но срезается заголовок", это разные вещи. Похожие, но разные

And gre over ipsec отличается от vti не только экстра хедером

Да я подозревал. Сейчас читаю

Да я подозревал. Сейчас читаю

Если кратко, то самые большие различия там в трех вещах : 1. vti up/up когда ипсек фаза 2 ап, gre up/up когда tunnel destination резолвится в RIB. 2. VTI - single protocol encapsulation (ip over ip или ipv6 over ipv6), gre - мультипротокольная энкапсуляция. На практике это значит, что поверх одного gre туннеля мы можем гонять и ipv4, и ipv6. 3. Оверхед заголовка.

Если кратко, то самые большие различия там в трех вещах : 1. vti up/up когда ипсек фаза 2 ап, gre up/up когда tunnel destination резолвится в RIB. 2. VTI - single protocol encapsulation (ip over ip или ipv6 over ipv6), gre - мультипротокольная энкапсуляция. На практике это значит, что поверх одного gre туннеля мы можем гонять и ipv4, и ipv6. 3. Оверхед заголовка.

Оо.. спасибо! Как порой тяжело достать такие тонкости.

+с недавних пор (последний код) на ASA появилась поддержка VTI, но gre там не было и не планируется

Пока есть поддержка только Static VTI. Ждем Dynamic)

Сначала ждём ikev2 vti :)

А вообще есть крайне полезный док https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html

Привет, ребят а кто-нибудь реализовывал в EVE вместо открытия pytty открытие вкладки в superPutty?

Привет, ребят а кто-нибудь реализовывал в EVE вместо открытия pytty открытие вкладки в superPutty?

Я!

Ой, только не суперпутти, а секьюрЦРТ

Я!

там от интегрейшен пака как-то зависит? или можно ручками переделать

Ой, только не суперпутти, а секьюрЦРТ

главное чтоб не окна отдельно

там от интегрейшен пака как-то зависит? или можно ручками переделать

вот я помню у меня открывались окна отдельно. Но с SecureCRT все норм. Попробуй поменять в рег файлике (который в папке с EVE)

ну да, там внитри попробуй путь поменять, вместо crt свой путь к суперпутти поставить

[HKEY_CLASSES_ROOT\telnet\shell\open\command] @="\"C:\\Program Files\\VanDyke Software\\SecureCRT\\SecureCRT.exe\" %1 /T"

Привет, ребят а кто-нибудь реализовывал в EVE вместо открытия pytty открытие вкладки в superPutty?

Я в юнл делал

Там чуток другие флаги

Потом скину

У меня щас superputty для унл. И secur crt для живого железа

У меня щас superputty для унл. И secur crt для живого железа

дай посмотреть .reg файл

мой вот

А зачем

Я не так делал

советовали там пути менять на супер

без рег файла

просто переименовать .exe -> Putty -> SuperPutty?

просто например у унл 192.168.1.1

потом

первая нода с портом 32769

создается

и дальше по порядку

в superputty создаешь сессии и сохраняешь

в superputty создаешь сессии и сохраняешь

закономерность ?

у меня вот так

да GNS у меня тож. а вот EVE

непомню почему так заморачивался, но работает))

"C:\Windows\System32\cmd.exe" /C "cd C:\Program Files\GNS3 && SuperPutty.exe %1"

нет просто суперпутти у меня в папке GNS

ERROR: S client not available

в реестре это типа системная настройка для открытия telnet:// URI-ссылок

у телеграма вот например

http://ccie.linkmeup.ru/qa/question/ispolzovanie-superputty-s-unl тут обсуждали

ща читаю...

народ вопрос есть такой, вот у меня cert ccnp например есть прошло 3 года, я меняю работу прихожу на собеседование показываю серт его проверяют по id, там же значиться что я получал его или все бумажка не значит не чего? знаю если ccnp sec сдать по новой то ветнеться, а если не сдавать

Скорее всего укажет, что сертификат есть, но он уже неактуальный.

народ вопрос есть такой, вот у меня cert ccnp например есть прошло 3 года, я меняю работу прихожу на собеседование показываю серт его проверяют по id, там же значиться что я получал его или все бумажка не значит не чего? знаю если ccnp sec сдать по новой то ветнеться, а если не сдавать

"показываю серт его проверяют по id" - так кто-то делает?

"показываю серт его проверяют по id" - так кто-то делает?

да фиг знает, может и проверяют)

да фиг знает, может и проверяют)

это какие-то слишком замороченные ребятки, видимо) Я обычно говорю на собеседовании в интеграторе (если вообще об этом заходит речь), что CCNP, но действие закончилось, если надо - сдам.

А подскажите, многоуважаемые. Есть образы АСА - 8.42, 9.15, АСАв - 9.52 и 9.61 (все - на тракторе). Что лучше/стабильнее для обучения. GNS3, если есть разница.

для ccie sec терка циска рекомендует asav 9.6.1. так что думаю она более чем стабильна

спасибо

А подскажите, многоуважаемые. Есть образы АСА - 8.42, 9.15, АСАв - 9.52 и 9.61 (все - на тракторе). Что лучше/стабильнее для обучения. GNS3, если есть разница.

последняя ерсия asav. если нужен мультиконтекст, то тогда обычную асу, но там она работает плохо и не поддерживается больше gns3 командой

разыскал сейчас - они пишут - 8ю не поддерживают. 9.1.5 - не ASAv. Пес ее знает, попробую

"показываю серт его проверяют по id" - так кто-то делает?

емнип, показывает только что айдишник верный

вот все, что показывается при пробивании серта

ага посмотрел уже спасибо)

Всем привет. А кто-нить знает действенные способы оперативно поменять на основные геолокационные сервисы? Например у меня был IP блок, которым пользовались в одной стране. Сейчас хочу его заононсировать в другой, но основные геолокационные сервисы по прежнему определяют его в прошлой.

в RIPE в inetnum изменения внёс, но кажется этого очень мало

всем доброго времени суток! подскажите, как можно скачать 47 и 43 выпуск? так как на сайте файлы не доступны.

всем доброго времени суток! подскажите, как можно скачать 47 и 43 выпуск? так как на сайте файлы не доступны.

эээ... только что у обоих прослушал вступление, с сайта

труба?

труба?

не, клавишные

сори, но вас не понимаю

в вот 46 выпуск работает

сори, но вас не понимаю

https://ia801601.us.archive.org/16/items/linkmeup-V047/linkmeup-V047.mp3 https://ia601601.us.archive.org/6/items/linkmeup-V043/linkmeup-V043.mp3