Центр сертификации на CISCO + IKEv2 VPN

Часть 1.
Создаём сервер сертификации и сами сертификаты

!! Создаём группу, в которую будут помещать пользователи, подключающиеся с помощью !!сертификатов
aaa authorization network grouplist local

!! Вводим имя домена
ip domain name yourdomain.local

!! Включаем сервер http. Если на нём есть ACL и авторизация, то придётся её временно отключить.
!! no ip http access-class 23
!! no ip http authentication local
ip http server

!! Проверяем чтобы на роутере было верное время
sh clock

!! Генерируем сертификат для сервера сертификации. Имя сертификата (label) должно совпадать с !!именем будущего сервера сертификации
crypto key generate rsa general-keys modulus 4096 label gwname-ca exportable

!! Экспортируем пару ключей в память, задаём пароль
crypto key export rsa gwname-ca pem url nvram: 3des Pa$$w0rd

!! Создаём сам сервер сертификации
crypto pki server gwname-ca
 database level names
  no database archive
 cdp-url http://ca.yourdomain.ru/cgi-bin/pkiclient.exe?operation=GetCRL
  eku server-auth client-auth
 issuer-name CN = gwname-ca, OU = yourdomain, O = yourdomain CJSC, L = Novosibirsk, ST = Lenina, C = RU
 lifetime crl 24
 no shutdown

!! Создаём сертификат для роутера
crypto key generate rsa general modulus 4096 exportable label router
!! Ассоциируем доменное имя с IP
 Ip host ca.yourdomain.ru 64.233.165.100

!! Создаём trustpoint для роутера
crypto pki trustpoint router
 source interface Gi0/0
 enrollment url http://ca.yourdomain.ru
 revocation-check none
 serial-number
 fqdn ca.yourdomain.ru
 ip-address 64.233.165.100
subject-name CN = ca.yourdomain.ru, OU = yourdomain, O = yourdomain CJSC, L = Novosibirsk, ST = Lenina, C = RU

!! Регистрируем сертификат на сервере сертификации
crypto pki authenticate router
crypto pki enroll router

!! Смотрим запросы на регистрацию на сервере сертификации
do show crypto pki server gwname-ca requests

!! Разрешаем регистрацию
do crypto pki server gwname-ca grant <номер запроса>

На этом настройки CA закончены. Создан сервер сертификации и выписан сертификат на роутер. Внимание! Сертификат роутера очень важен, если к нему не будет доверия со стороны клиента, то IKEv2 соединение не будет установлено. В Windows 10 ошибка 1380. Другие ошибки тут - https://technet.microsoft.com/ru-ru/library/dd941612%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

!! Создаём сертификат для пользователя
crypto key generate rsa general modulus 4096 exportable label user@example.com

!! Создаём trustpoint для пользователя, чтобы зарегистрировать его сертификат на сервере
crypto pki trustpoint user@example.com
 enrollment url http://ca.yourdomain.ru:80
 fqdn none
 ip-address none
  revocation-check none
auto-enroll
 hash sha512
subject-name CN = user@example.com, OU = yourdomain, O = yourdomain CJSC, L = Novosibirsk, ST = Lenina, C = RU
rsakeypair user@example.com


!! Регистрируем сертификат на сервере
crypto pki authenticate user@example.com
crypto pki enroll user@example.com

!! Смотрим запросы на регистрацию и регистрируем
do show crypto pki server gwname-ca requests
do crypto pki server gwname-ca grant <номер запроса>

!! Экспортируем цепочку сертификатов для пользователя на TFTP
crypto pki export user@example.com pkcs12 tftp://192.168.0.103/user.pfx password <password>
!! Или на флешку
crypto pki export user@example.com pkcs12 usbflash0:/user.pfx password <password>

!! Сертификат должен быть установлен на компьютере пользователя к контейнер Локальный компьютер!

!! После экспорта созданные сертификаты и трастпоинты можно удалить
crypto key zeroize rsa user@example.com
no crypto pki trustpoint user@example.com 

Часть 2.
Настраиваем IKEv2

!! Создаём крипто-карту, по которой будем проверять только то что сертификат выдан именно !!нашим сервером
crypto pki certificate map staff-certificate-map 10
 issuer-name co cn = gwname-ca

!! Создаём пул локальных адресов для выдачи пользователям VPN
ip local pool vpn-pool 192.168.6.100 192.168.6.200

!! Создаём политику авторизации ikev2
crypto ikev2 authorization policy ap-staff
 pool vpn-pool

!! Настраиваем proposal в котором указываем какие алгоритмы шифрования, кэширования и DH !!группы мы поддерживаем.
crypto ikev2 proposal SHA1
 encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
 integrity sha1 sha256 sha512
 group 20 21 24 14 5 2

!! Привязываем proposal к политике ikev2
crypto ikev2 policy VPN
 proposal SHA1

!! Создаём профиль ikev2, который затем пропишем в профиле ipsec
crypto ikev2 profile staff
 match certificate staff-certificate-map
 identity local dn
 authentication remote rsa-sig
 authentication local rsa-sig
 pki trustpoint router
 dpd 60 2 on-demand
 aaa authorization group cert list grouplist ap-staff
 virtual-template 4

!! Создаём transform-set с именем aes256-sha1 который и будет шифровать данные. Режим !!туннельный, то есть мы будем шифровать пакеты целиком, вместе с заголовками
crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac
 mode tunnel

!! Создаём профиль ipsec, который затем повесим на виртуальный интерфейс
crypto ipsec profile staff
 set transform-set aes256-sha1
 set ikev2-profile staff

!! Создаём виртуальный интерфейс. Указываем через какой интерфейс пускать трафик (в моём случае, это саб интерфейс VLAN 104). Переводим его в туннельный режим. И вешаем на него профиль ipsec.
interface Virtual-Template4 type tunnel
 ip unnumbered GigabitEthernet0/2.104
 ip nat inside
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile staff


Полезные команды для диагностики
show crypt pki server Показывает текущие настройки сервера CA
show crypt pk certificates Показывает сертификаты в наличии
show crypt ikev2 Включает вывод всех сообщений связанных с ikev2

iTunes не видит iPhone, iPad

Если после обновления Windows 8 iTunes не видит iPhone, iPad, то:

1. Заходим в Панель Управления

2. Открываем Устройства и Принтеры

3. В самом низу находим подключенное устройство (например iPad)

3. Кликаем на нём правой кнопкой мыши > Свойства > вкладка Оборудование > Свойства

4. Нажимаем Изменить параметры

5. Переходим на вкладку Драйвер > Обновить > Автоматический поиск обновлённых драйверов.

6. Готово :)

Ликвидация мёртвого контроллера домена

Открываем командную строку пуск/выполнить/cmd.exe
Наберите ntdsutil (попадаем в режим ввода команд утилиты ntdsutil)
Введите metadata cleanup
Введите connections
Набирпем connect to server Server, Server – имя работоспособного контроллера домена
quit
select operations target
lists sites
select site № , № – имя сайта, в котором находился неисправный контроллер домена
list servers in site
select server №, № – имя неисправного контроллера домена
list domains
select domain №, № – домен, в котором находится неисправный DC
quit
remove selected server ( после ввода команды убедитесь, что удаляется нужный сервер!)
Подтверждаем удаление
Откройте оснастку Active Directory Sites and Services
Разверните сайт, в котором находился ненужный DC
Убедитесь, что данный контролер не содержит никаких объектов
Щелкните правой кнопкой по контроллеру и выберите Delete
Закройте оснастку Active Directory Sites and Services
Откройте оснастку Active Directory Users and Computers
Разверните OU «Domain Controllers»
Удалите учетную запись компьютера неисправного контроллера домена из данной OU
Откройте оснастку DNS Manager
Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
Щелкните правой кнопкой мыши по зоне и выберите Properties
Перейдите на вкладку серверов Name Servers
Удалите запись неисправного DC
Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи
Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена

На этом удаление неисправного DC завершено.

http://support.microsoft.com/kb/216498/ru

DHCP на CISCO

1. Создаем пул

ip dhcp pool LAN
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1

2. Исключаем адреса из пула

// Роутеров
ip dhcp excluded-addresses 192.168.0.1 192.168.0.2
// Половины сети
ip dhcp excluded-addresses 192.168.0.128 192.168.0.255

3. привязываем конкретный мак к ip адресу

ip dhcp pool MyHost

host 10.0.99.15 255.255.255.0client-identifier 0194.39e5.c0c2.a9default-router 10.0.99.1dns-server 10.0.0.1 10.0.1.1

4. Смотрим выданные адреса

!Показывает выданные адреса

sh ip dhcp bin

!Показывает информацию по всем пулам

sh ip dhcp pool

MEGA - Облачное хранилище данных

Клёвый облачный сервис для хранения информации с 50 Гигами на старте!!!

https://mega.co.nz

Как превратить вкладку браузера в блокнот

Всё просто, достаточно открыть новую закладку, скопировать в адресную строку:

data:text/html, <html contenteditable>

и нажать Enter.

Готово!

При клике на белом поле появляется курсор.
Можно печатать написанное, можно сохранять в текстовый файл (для корректного сохранения русского языка необходимо сначала выставить правильную кодировку у страницы).

Два провайдера на Cisco

Резервирование:

Настраиваем "Пинговалку"

! Задаем параметры «пинговалики»
ip sla {#}
  icmp-echo {ip} [source-interface {int}]
!
! Запускаем пинговалку
ip sla schedule {#} start now life forever
!
! Настраиваем «переключатель» (track), от которого будет зависеть маршрут
track {#} ip sla {#} reachability
!
! Настраиваем маршрут по умолчанию с трекингом
ip route 0.0.0.0 0.0.0.0 {next-hop} track {#}

Создаём Роут-Мэп

route-map ISPX permit {#}
  ! Указываем критерий попадания в этот абзац route-map  
  match interface {исходящий интерфейс}

Пул адресов от каждого провайдера

  ip nat pool PoolX {start-ip(ISPX)}  {end-ip(ISPX)}

Правила NAT на каждого провайдера

  ip nat inside source route-map ISPX poolX overload

Если к надо добавить статические трансляции, то делаем почти так же (пусть серверу мы зарезервировали адрес Srv(ISPX) от каждого провайдера, а локальный адрес у сервера – Srv(LAN).)

  ip nat inside source static Srv(LAN) Srv(ISPX) route-map ISPX 



Итого, у нас получилось:
! 
! интерфейсы
int g0/0
  ip address [LAN]
  ip nat inside
!
int f0/0
  ip address Address(ISP1)
  ip nat outside
!
int f0/1
  ip address Address(ISP2)
  ip nat outside
!
! Маршрутизация
ip sla 1
  icmp-echo Gate(ISP1)
ip sla schedule 1 start now life forever
track 11 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
ip route 0.0.0.0 0.0.0.0 Gate(ISP2) 50
!
! Пулы для NAT
ip nat pool POOL1 {start-ip(ISP1)}  {end-ip(ISP1)}
ip nat pool POOL2 {start-ip(ISP2)}  {end-ip(ISP2)}
!
! route-map для NATa
route-map ISP1 permit 10
  match interface f0/0
!
route-map ISP2 permit 10
  match interface f0/1
!
! Правила NATa
ip nat inside source route-map ISP1 POOL1 overload
ip nat inside source route-map ISP2 POOL2 overload
ip nat inside source static Srv(LAN) Srv(ISP1) route-map ISP1
ip nat inside source static Srv(LAN) Srv(ISP2) route-map ISP2