How to recovery/reset Cisco Nexus 7K/9K admin password

How to reset/recovery Cisco Nexus 7K/9K admin password 

If you’ve forgotten the admin password for your Cisco Nexus device, you can reset/recovery it with the following steps:

Step 1
Press CTRL+C during the boot sequence until you see “loader>” prompt

Step 2
Enable recovery mode before the boot
loader> cmdline recoverymode=1

Step 3
If you have a previously image loaded just choose that one. Type dir command to see a list of binary files.
But if there is no boot image you can use a USB port and a USB stick FAT32 formatted and containing a suitable binary firmware (.bin).
boot <image on USB or on bootflash>
example: boot usb2:nxos.9.3.11.bin or boot bootflash:nxos.9.3.11.bin

Step 4
When the boot is complete, the switch(boot)# prompt will appear, signifying that the recovery mode procedure was successful.
Type “init system” but be aware that this will erase all partition data and return the system to a full initialization.
switch(boot)# init system

Step 5
Upon completion of the “init system” command, it will be possible to reboot the switch in factory-reset mode.
So with all the prompts from the beginning, the password prompt, the quick configuration mode… and you will be able to enter the new password.
switch(boot)# reload-nxos

NOTE:
On reboot you may miss the firmware but it is not a problem, because you can start the switch with the binary file in a USB stick, as we did during the recovery procedure.
Then, when the upload is complete, you can reinstall it with the command install all nxos nxos.XXXXXXXX.bin and reboot the switch.

Hướng dẫn cài đặt và unlock OpenVPN Access server

1. OpenVPN là gì?
OpenVPN là một phần mềm thương mại mã nguồn mở thực hiện kỹ thuật mạng riêng ảo (VPN) để tạo ra các kết nối điểm-tới-điểm hoặc site-to-site an toàn. Nó dùng một giao thức bảo mật tùy chỉnh sử dụng SSL/TLS để trao đổi khóa. Nó được viết bởi James Yonan và được phát hành theo giấy phép công cộng GNU (GPL).

OpenVPN cho phép các bên xác thực lẫn nhau bằng cách sử dụng khóa bí mật chia sẻ trước, chứng thư khoá công khai (public key certificate) hoặc tên người dùng/mật khẩu. Khi được sử dụng trong cấu hình multiclient-server, nó cho phép máy chủ phát hành một chứng thư xác thực cho mỗi client. Nó sử dụng thư viện mã hoá OpenSSL cũng như giao thức TLS một cách rộng rãi, và chứa nhiều tính năng kiểm soát và bảo mật.

Openvpn có phiên bản free và bản thương mại. Bản thương mại là OpenVPN Access Server, version này có nhiều tính năng nổi trội so với bản free như:
– có web quản trị
– Giao diện web cho enduser tự đổi password + lấy mã QRCODE TOTP
– VPN client khi VPN tự nhảy popup nhập 2FA
– Chỉ cần cài 1 lần, có tất cả thành phần cơ bản của 1 hệ thống VPN hoàn chỉnh, bảo mật, ko cần tốn thêm tài nguyên tự dựng radius hay webpage như đối với các phiên bản free.
Tuy nhiên mặc định nếu ko add license thì được phép sử dụng đồng thời 2 user, ko đủ để sử dụng cho bất cứ doanh nghiệp nào. Còn nếu mua license thì khá tốn kém , tầm chi phí cho nó đủ để mua các hệ thống VPN hardware chuyên nghiệp hơn như checkpoint, fortinet, pulse secure.
sau đây mình sẽ hướng dẫn cài đặt, và unlock license lên free 2048 user

2. Cài đặt
Chuẩn bị 1 máy chủ centos 7, yêu cầu:

hệ điều hành centos 7
ram = 4GB
CPU: càng nhiều core càng tốt, ở đây sử dụng 4 core làm lab
tắt selinux

Cấu hình sysctl

cat >/etc/sysctl.d/openvpn.conf <<EOL
net.ipv4.ip_forward = 1
EOL

Cài đặt các gói cơ bản:

yum install -y epel-release vim curl wget net-tools telnet && yum update -y
systemctl disable --now firewalld

reboot lại server
sau khi server restart, lên trang chủ openvpn cài đặt bản mới nhất, hiện tại là ver 2.9.2

Get OpenVPN


Cài đặt theo hướng dẫn của trang chủ

yum -y install https://as-repository.openvpn.net/as-repo-centos7.rpm
yum -y install openvpn-as

Sau khi cài xong, làm theo hướng dẫn, đặt password cho user openvpn mặc định (do openvpn tự tạo ra trong khi cài đặt)
User này cũng sẽ là user sử dụng để đăng nhập trang quản trị

passwd openvpn

Đăng nhập thử:

Đã cài đặt thành công, tuy nhiên, chúng ta thấy chỉ có 2 user được sử dụng đồng thời.
Giờ sẽ tiến hành sửa lại 2 –> 2048
Tắt hết openvpn service đi:

[root@openvpn ~]# systemctl stop openvpnas
[root@openvpn ~]# ps -ef | grep openvpn
root       2451   1779  0 11:31 pts/0    00:00:00 grep --color=auto openvpn
cd /usr/local/openvpn_as/lib/python

thư mục /usr/local/openvpn_as/lib/python chứa toàn bộ thư viện openvpn-as sử dụng, đương nhiên bao gồm cả phần license. phần license do thư viện pyovpn-2.0-py3.6.egg xử lý.
Chúng ta tiến hành edit lại file này để unlock, backup file gốc, tạo thư mục mới để làm việc tạm

[root@openvpn python]# pwd
/usr/local/openvpn_as/lib/python
[root@openvpn python]# mkdir unlock_license
[root@openvpn python]# mv pyovpn-2.0-py3.6.egg pyovpn-2.0-py3.6.egg_bak
[root@openvpn python]# cp -rp pyovpn-2.0-py3.6.egg_bak unlock_license/pyovpn-2.0-py3.6.zip
[root@openvpn python]# cd unlock_license/
[root@openvpn unlock_license]# ll -h
total 5.7M
-rw-r--r-- 1 root root 5.7M Jul  7 20:24 pyovpn-2.0-py3.6.zip
[root@openvpn unlock_license]#

bản chất egg là file zip, nên chỉ rename, rồi giải nén là có thể edit được nội dung.

yum install -y zip unzip
unzip pyovpn-2.0-py3.6.zip
[root@openvpn unlock_license]# ll -h
total 5.7M
drwxr-xr-x  2 root root   79 Jul 29 11:37 common
drwxr-xr-x  2 root root  106 Jul 29 11:37 EGG-INFO
drwxr-xr-x 37 root root 4.0K Jul 29 11:37 pyovpn
-rw-r--r--  1 root root 5.7M Jul  7 20:24 pyovpn-2.0-py3.6.zip

Sửa tiếp file uprop.pyc trong thư mục pyovpn/lic

[root@openvpn unlock_license]# cd pyovpn/lic/
[root@openvpn lic]# ls -lh uprop.pyc
-rw-r--r-- 1 root root 2.8K Jul  7 13:24 uprop.pyc

File pyc là file python đã compiled, tiến hành dịch ngược ra file source code python để chỉnh sửa, cài đặt uncompyle6

[root@openvpn lic]# pip3 install uncompyle6
WARNING: Running pip install with root privileges is generally not a good idea. Try `pip3 install --user` instead.
Collecting uncompyle6
  Downloading https://files.pythonhosted.org/packages/65/24/04e4e3eeb1d39c2a910f552bf0a69185a4d618924be2a98fad8e048e7cdf/uncompyle6-3.7.4-py3-none-any.whl (316kB)
    100% |████████████████████████████████| 317kB 2.4MB/s
Collecting xdis<5.1.0,>=5.0.4 (from uncompyle6)
  Downloading https://files.pythonhosted.org/packages/5a/d1/e6d3f51655eada8dc4628862357edaebafe7fa997ace9f51832c0389fd88/xdis-5.0.11-py2.py3-none-any.whl (129kB)
    100% |████████████████████████████████| 133kB 6.0MB/s
Collecting spark-parser<1.9.0,>=1.8.9 (from uncompyle6)
  Downloading https://files.pythonhosted.org/packages/e1/c3/745adc57618998882a6e120cedebfba6ebf76aa9052c8b89e49c0fe47c2e/spark_parser-1.8.9-py3-none-any.whl
Collecting click (from xdis<5.1.0,>=5.0.4->uncompyle6)
  Downloading https://files.pythonhosted.org/packages/76/0a/b6c5f311e32aeb3b406e03c079ade51e905ea630fc19d1262a46249c1c86/click-8.0.1-py3-none-any.whl (97kB)
    100% |████████████████████████████████| 102kB 5.1MB/s
Collecting six>=1.10.0 (from xdis<5.1.0,>=5.0.4->uncompyle6)
  Downloading https://files.pythonhosted.org/packages/d9/5a/e7c31adbe875f2abbb91bd84cf2dc52d792b5a01506781dbcf25c91daf11/six-1.16.0-py2.py3-none-any.whl
Collecting importlib-metadata; python_version < "3.8" (from click->xdis<5.1.0,>=5.0.4->uncompyle6)
  Downloading https://files.pythonhosted.org/packages/3f/e1/e5bba549a033adf77448699a34ecafc7a32adaeeb4369396b35f56d5cc3e/importlib_metadata-4.6.1-py3-none-any.whl
Collecting zipp>=0.5 (from importlib-metadata; python_version < "3.8"->click->xdis<5.1.0,>=5.0.4->uncompyle6)
  Downloading https://files.pythonhosted.org/packages/92/d9/89f433969fb8dc5b9cbdd4b4deb587720ec1aeb59a020cf15002b9593eef/zipp-3.5.0-py3-none-any.whl
Collecting typing-extensions>=3.6.4; python_version < "3.8" (from importlib-metadata; python_version < "3.8"->click->xdis<5.1.0,>=5.0.4->uncompyle6)
  Downloading https://files.pythonhosted.org/packages/2e/35/6c4fff5ab443b57116cb1aad46421fb719bed2825664e8fe77d66d99bcbc/typing_extensions-3.10.0.0-py3-none-any.whl
Installing collected packages: zipp, typing-extensions, importlib-metadata, click, six, xdis, spark-parser, uncompyle6
Successfully installed click-8.0.1 importlib-metadata-4.6.1 six-1.16.0 spark-parser-1.8.9 typing-extensions-3.10.0.0 uncompyle6-3.7.4 xdis-5.0.11 zipp-3.5.0
[root@openvpn lic]#

Dịch ngược

[root@openvpn lic]# uncompyle6 uprop.pyc > uprop.py
[root@openvpn lic]# ll -h uprop.py
-rw-r--r-- 1 root root 3.5K Jul 29 11:40 uprop.py
[root@openvpn lic]#

Mở file uprop.py, tìm tới funtion figure
Nội dung funtion như sau:

    def figure(self, licdict):
        proplist = set(('concurrent_connections', ))
        good = set()
        ret = None
        if licdict:
            for key, props in list(licdict.items()):
                if 'quota_properties' not in props:
                    print('License Manager: key %s is missing usage properties' % key)
                else:
                    proplist.update(props['quota_properties'].split(','))
                    good.add(key)

        for prop in proplist:
            v_agg = 0
            v_nonagg = 0
            if licdict:
                for key, props in list(licdict.items()):
                    if key in good:
                        if prop in props:
                            try:
                                nonagg = int(props[prop])
                            except:
                                raise Passthru('license property %s (%s)' % (prop, props.get(prop).__repr__()))

                            v_nonagg = max(v_nonagg, nonagg)
                            prop_agg = '%s_aggregated' % prop
                            agg = 0
                            if prop_agg in props:
                                try:
                                    agg = int(props[prop_agg])
                                except:
                                    raise Passthru('aggregated license property %s (%s)' % (
                                     prop_agg, props.get(prop_agg).__repr__()))

                                v_agg += agg
                        if DEBUG:
                            print('PROP=%s KEY=%s agg=%d(%d) nonagg=%d(%d)' % (
                             prop, key, agg, v_agg, nonagg, v_nonagg))

            apc = self._apc()
            v_agg += apc
            if ret == None:
                ret = {}
            ret[prop] = max(v_agg + v_nonagg, bool('v_agg') + bool('v_nonagg'))
            ret['apc'] = bool(apc)
            if DEBUG:
                print("ret['%s'] = v_agg(%d) + v_nonagg(%d)" % (prop, v_agg, v_nonagg))

        return ret

Để ý dòng cuối dùng return ret
Thêm 1 dòng ngay trước nó:ret[‘concurrent_connections’] = 2048
nội dung funtion sau khi sửa đổi như sau:

    def figure(self, licdict):
        proplist = set(('concurrent_connections', ))
        good = set()
        ret = None
        if licdict:
            for key, props in list(licdict.items()):
                if 'quota_properties' not in props:
                    print('License Manager: key %s is missing usage properties' % key)
                else:
                    proplist.update(props['quota_properties'].split(','))
                    good.add(key)

        for prop in proplist:
            v_agg = 0
            v_nonagg = 0
            if licdict:
                for key, props in list(licdict.items()):
                    if key in good:
                        if prop in props:
                            try:
                                nonagg = int(props[prop])
                            except:
                                raise Passthru('license property %s (%s)' % (prop, props.get(prop).__repr__()))

                            v_nonagg = max(v_nonagg, nonagg)
                            prop_agg = '%s_aggregated' % prop
                            agg = 0
                            if prop_agg in props:
                                try:
                                    agg = int(props[prop_agg])
                                except:
                                    raise Passthru('aggregated license property %s (%s)' % (
                                     prop_agg, props.get(prop_agg).__repr__()))

                                v_agg += agg
                        if DEBUG:
                            print('PROP=%s KEY=%s agg=%d(%d) nonagg=%d(%d)' % (
                             prop, key, agg, v_agg, nonagg, v_nonagg))

            apc = self._apc()
            v_agg += apc
            if ret == None:
                ret = {}
            ret[prop] = max(v_agg + v_nonagg, bool('v_agg') + bool('v_nonagg'))
            ret['apc'] = bool(apc)
            if DEBUG:
                print("ret['%s'] = v_agg(%d) + v_nonagg(%d)" % (prop, v_agg, v_nonagg))
                
        ret['concurrent_connections'] = 2048
        return ret

Tiến hành đóng gói lại thành file pyc như cũ

[root@openvpn lic]# rm -f uprop.pyc
[root@openvpn lic]# python3 -O -m compileall uprop.py && mv __pycache__/uprop.cpython-36.opt-1.pyc uprop.pyc
Compiling 'uprop.py'...
[root@openvpn lic]# ll -h
total 116K
drwxr-xr-x 2 root root   26 Jul 29 11:37 conf
-rw-r--r-- 1 root root 7.5K Jul  7 13:24 info.pyc
-rw-r--r-- 1 root root  134 Jul  7 13:24 __init__.pyc
-rw-r--r-- 1 root root 1.4K Jul  7 13:24 ino.pyc
-rw-r--r-- 1 root root  13K Jul  7 13:24 lbcs.pyc
-rw-r--r-- 1 root root 1.8K Jul  7 13:24 lbq.pyc
-rw-r--r-- 1 root root  862 Jul  7 13:24 lic_entry.pyc
-rw-r--r-- 1 root root  441 Jul  7 13:24 licerror.pyc
-rw-r--r-- 1 root root 6.9K Jul  7 13:24 lichelper.pyc
-rw-r--r-- 1 root root 6.0K Jul  7 13:24 lickey.pyc
-rw-r--r-- 1 root root 2.3K Jul  7 13:24 licser.pyc
-rw-r--r-- 1 root root  13K Jul  7 13:24 licstore.pyc
-rw-r--r-- 1 root root 4.2K Jul  7 13:24 liman.pyc
-rw-r--r-- 1 root root 1.1K Jul  7 13:24 lspci.pyc
-rw-r--r-- 1 root root 2.5K Jul  7 13:24 prop.pyc
drwxr-xr-x 2 root root    6 Jul 29 11:45 __pycache__
-rw-r--r-- 1 root root 3.5K Jul 29 11:44 uprop.py
-rw-r--r-- 1 root root 2.8K Jul 29 11:45 uprop.pyc
-rw-r--r-- 1 root root 9.2K Jul  7 13:24 vprop.pyc
[root@openvpn lic]# rm -rf __pycache__ uprop.py
[root@openvpn lic]#

nén lại thành file egg như cũ

[root@openvpn unlock_license]# pwd
/usr/local/openvpn_as/lib/python/unlock_license
[root@openvpn unlock_license]# ll -h
total 5.7M
drwxr-xr-x  2 root root   79 Jul 29 11:37 common
drwxr-xr-x  2 root root  106 Jul 29 11:37 EGG-INFO
drwxr-xr-x 37 root root 4.0K Jul 29 11:37 pyovpn
-rw-r--r--  1 root root 5.7M Jul  7 20:24 pyovpn-2.0-py3.6.zip
[root@openvpn unlock_license]# zip -r pyovpn-2.0-py3.6_cracked.zip common EGG-INFO pyovpn

[root@openvpn unlock_license]# ll -h
total 12M
drwxr-xr-x  2 root root   79 Jul 29 11:37 common
drwxr-xr-x  2 root root  106 Jul 29 11:37 EGG-INFO
drwxr-xr-x 37 root root 4.0K Jul 29 11:37 pyovpn
-rw-r--r--  1 root root 5.7M Jul 29 12:14 pyovpn-2.0-py3.6_cracked.zip
-rw-r--r--  1 root root 5.7M Jul  7 20:24 pyovpn-2.0-py3.6.zip
[root@openvpn unlock_license]#
[root@openvpn unlock_license]#
[root@openvpn unlock_license]# mv pyovpn-2.0-py3.6_cracked.zip pyovpn-2.0-py3.6.egg
[root@openvpn unlock_license]# mv pyovpn-2.0-py3.6.egg ../ && cd ..
[root@openvpn python]# ls -lh pyovpn-2.0-py3.6.egg
-rw-r--r-- 1 root root 5.7M Jul 29 12:14 pyovpn-2.0-py3.6.egg
[root@openvpn python]#

Xoá python cache trong /usr/local/openvpn_as/lib/python

cd /usr/local/openvpn_as/lib/python
[root@openvpn python]# rm -rf __pycache__/*

Khởi tạo lại profile openvpn

cd /usr/local/openvpn_as/bin

./ovpn-init
[root@openvpn bin]# ./ovpn-init
Detected an existing OpenVPN-AS configuration.
Continuing will delete this configuration and restart from scratch.
Please enter 'DELETE' to delete existing configuration: DELETE

          OpenVPN Access Server
          Initial Configuration Tool
------------------------------------------------------
OpenVPN Access Server End User License Agreement (OpenVPN-AS EULA)
...
Please enter 'yes' to indicate your agreement [no]: yes

Once you provide a few initial configuration settings,
OpenVPN Access Server can be configured by accessing
its Admin Web UI using your Web browser.

Will this be the primary Access Server node?
(enter 'no' to configure as a backup or standby node)
> Press ENTER for default [yes]:

Please specify the network interface and IP address to be
used by the Admin Web UI:
(1) all interfaces: 0.0.0.0
(2) ens33: 192.168.150.132
Please enter the option number from the list above (1-2).
> Press Enter for default [1]:

What public/private type/algorithms do you want to use for the OpenVPN CA?

Recommended choices:

rsa       - maximum compatibility
secp384r1 - elliptic curve, higher security than rsa, allows faster connection setup and smaller user profile files
showall   - shows all options including non-recommended algorithms.
> Press ENTER for default [rsa]:

What key size do you want to use for the certificates?
Key size should be between 2048 and 4096

> Press ENTER for default [ 2048 ]:

What public/private type/algorithms do you want to use for the self-signed web certificate?

Recommended choices:

rsa       - maximum compatibility
secp384r1 - elliptic curve, higher security than rsa, allows faster connection setup and smaller user profile files
showall   - shows all options including non-recommended algorithms.
> Press ENTER for default [rsa]:

What key size do you want to use for the certificates?
Key size should be between 2048 and 4096

> Press ENTER for default [ 2048 ]:

Please specify the port number for the Admin Web UI.
> Press ENTER for default [943]:

Please specify the TCP port number for the OpenVPN Daemon
> Press ENTER for default [443]:

Should client traffic be routed by default through the VPN?
> Press ENTER for default [yes]:

Should client DNS traffic be routed by default through the VPN?
> Press ENTER for default [yes]:

Use local authentication via internal DB?
> Press ENTER for default [yes]:

Private subnets detected: ['192.168.150.0/24']

Should private subnets be accessible to clients by default?
> Press ENTER for default [yes]:

To initially login to the Admin Web UI, you must use a
username and password that successfully authenticates you
with the host UNIX system (you can later modify the settings
so that RADIUS or LDAP is used for authentication instead).

You can login to the Admin Web UI as "openvpn" or specify
a different user account to use for this purpose.

Do you wish to login to the Admin UI as "openvpn"?
> Press ENTER for default [yes]:

> Please specify your Activation key (or leave blank to specify later):



Initializing OpenVPN...
Removing Cluster Admin user login...
userdel "admin_c"
Adding new user login...
useradd -s /sbin/nologin "openvpn"
Writing as configuration file...
Perform sa init...
Wiping any previous userdb...
Creating default profile...
Modifying default profile...
Adding new user to userdb...
Modifying new user as superuser in userdb...
Getting hostname...
Hostname: openvpn
Preparing web certificates...
Getting web user account...
Adding web group account...
Adding web group...
Adjusting license directory ownership...
Initializing confdb...
Generating PAM config...
Enabling service
Starting openvpnas...

NOTE: Your system clock must be correct for OpenVPN Access Server
to perform correctly.  Please ensure that your time and date
are correct on this system.

Initial Configuration Complete!

You can now continue configuring OpenVPN Access Server by
directing your Web browser to this URL:

https://192.168.150.132:943/admin
Login as "openvpn" with the same password used to authenticate
to this UNIX host.

During normal operation, OpenVPN AS can be accessed via these URLs:
Admin  UI: https://192.168.150.132:943/admin
Client UI: https://192.168.150.132:943/

See the Release Notes for this release at:
   https://openvpn.net/vpn-server-resources/release-notes/

Đăng nhập lại openvpn sẽ thấy license đã lên 2048 user

 

 

Rename VIP hoặc đối tượng nào đó trên F5

SSH vào thiết bị F5
truy cập giao diện tmsh

tmsh

Bật chế độ cho phép move

modify /sys db mcpd.mvenabled value true

Ví dụ cần đổi lên VIP virtual_server100 thành VIP1000

mv ltm virtual virtual_server100 VIP1000
Tắt chế độ cho phép move đi
modify /sys db mcpd.mvenabled value false
Chi tiết xem tạm video:

Triển khai Network loadbalancing trên windows server

Mô hình:

10.144.139.17 và 10.144.139.18 là 2 máy windows (Chạy active directory). Mong muốn cần tạo IP VIP cho 2 con này, IP VIP là 10.144.139.25

Thử nghiệm với máy windows 10.144.141.190 kết nối tới VIP, firewall sử dụng là Juniper SRX 4100

Tiến hành cấu hình:

Tạo loadbalancing giữa 2 máy windows, cài đặt features: Network Load Balancing trên cả 2 máy

image003

image005

Đứng trên máy 10.144.139.17, Sau khi cài đặt, mở màn hình Network Load Balancing, nháy phải vào chọn new Cluster

image009

Nhập 10.144.139.17, bấm connect -> next -> Nhập VIP IP giữa 2 con: 10.144.139.25 và subnet tương ứng, kiểu  như này
image016
Internetname có thể ko cần, Cluster operation mode thì để Multicast. Nếu chọn unicast thì máy bị đứt kết nối khỏi mạng luôn. Sau đó next next tới hết

Quay lại màn hình Network Load Balancing, nháy phải vào cluster, chọn add Host, nhập thêm host 10.144.139.18 và làm tương tự.

Quay sang màn hình của Máy 10.144.139.18, Nháy phải, chọn connect to Existing

image009

Sau đó nhập IP 10.144.139.17 là xong.

Ping thử IP 10.144.139.25 trên cả 2 máy 17, 18 và 1 máy trong cùng mạng LAN đó thấy đã OK.

Tuy nhiên từ 10.144.141.190 vẫn chưa Ping được IP ảo mới tạo do SRX không học Mac của 10.144.139.25 này. Tiến hành cấu hình trên firewall SRX:

– ĐỨng từ 10.144.141.190 ping tới 10.144.139.25 thấy chưa thông, show trên firewall:

# run monitor traffic interface reth0.1561
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on reth0.1561, capture size 96 bytes
01:54:24.337022  In arp who-has 10.144.139.25 tell 10.144.139.1
01:54:24.337254  In arp reply 10.144.139.25 (03:bf:0a:90:8b:19) is-at 03:bf:0a:90:8b:19
01:54:24.337256  In arp reply 10.144.139.25 (03:bf:0a:90:8b:19) is-at 03:bf:0a:90:8b:19

trong đó reth0.1561 là interface của dải 10.144.139.xxx, ta thấy MAC ảo của IP 25 là 03:bf:0a:90:8b:19
Khai báo trên SRX:

# set interfaces reth0.1561 family inet address 10.144.139.1/26 arp 10.144.139.25 multicast-mac 03:bf:0a:90:8b:19
# commit

Ping thử thấy  từ 190 đã thông tới 25
Done

 

Cấu hình portchannel giữa switch cisco và Esxi 6.7

Mô hình:
Cấu hình trên swich:

conf t
interface port-channel2
switchport
switchport mode trunk
conf t
int e1/34-36
switchport
switchport mode trunk
channel-group 2 mode on

Cấu hình trên ESXi, tạo Vswitch mới tên BOND, add 3 uplink em2-4 cho vswitch này
Bấm chọn networking ->Virtual switches -> Add standard virtual switch

vSwitch Name = BOND
security policy:
Allow promiscuous mode Yes
Allow forged transmits Yes
Allow MAC changes Yes

NIC teaming policy:
Notify switches Yes
Policy Route based on IP hash
Reverse policy Yes
Failback Yes

 

Khai báo portgroup cho mỗi vlan cần sử dụng, ví dụ ở đây khai báo vlan 1583. Chúng ta truy cập tab portgroup, add portgroup
Sau đó sử dụng portgroup này trong các giao diện thêm, sửa network card của máy ảo.

Bên lề: etherchannel của switch cisco có hỗ trợ các giao thức như LACP , PAgP . Tuy nhiên ESXI ko tương thích với 2 món đó, dòng channel-group 2 mode on trên switch để khai báo giao thức động, kệ 2 thằng device thương lượng với nhau. Theo vmware, họ chỉ hỗ trợ LACP khi kết nối với Distributed switch.

Port forwarding với netsh (Windows)

Đôi khi, cần thực hiện portwarding 1 số máy trong LAN , với các hệ thống có firewall thì có thể làm điều này dễ dàng, tuy nhiên, đôi lúc giật gấu vá vai, đành phải tạm khắc phục nếu không có firewall. Ở bài trước, chúng ta đã làm điều này dễ dàng với iptables, nhưng iptables chỉ có trên linux. Với các đơn vị nhỏ nhỏ, đa phần là máy người dùng, windows, k lẽ đi cài 1 con linux lên thì về mặt chi phí ko còn khả thi nữa (tiền 1 con PC còn quá tiền mua con firewall phò). May thay, windows cũng làm được điều này với lệnh netsh, mở cmd dưới quyền administrator lên:

Cú pháp:

netsh interface portproxy add v4tov4 listenport=3621 listenaddress=192.168.1.151 connectport=1521 connectaddress=10.1.36.66

Giải thích: máy windows sẽ listen port 3621 , mọi traffic tới port 3621 sẽ điều hướng tới connectaddress=10.1.36.66 và connectport=1521

Để biết hiện tại máy đang proxy những gì:

netsh interface portproxy show all

 

Simple monitoring – Chương trình monitor mạng đơn giản.

Chương trình được viết bằng python

Hướng dẫn cài đặt:

Cài đặt python3, và các gói cần thiết
yum install epel-release -y & yum install python36 python36-pip.noarch -y && pip3 install requests

Cách chạy app, sau khi thay cấu hình trong file config.py
cd <đường dẫn thư mục app>
python3 monitor_simple.py

Cách thiết lập chạy mỗi phút 1 lần:
crontab -l
Thêm vào dòng sau:
* * * * * /usr/bin/python3 <đường dẫn file monitor_simple.py>

Download:

https://github.com/khachuy2705/monitor_simple

Cấu hình SSH cho switch cisco


Tạo mật khẩu enable:

#enable
#enable secret <PASSWORD>
#conf t

Gán địa chỉ IP quản trị và VLAN quản trị

config#ip default-gateway <FIREWALL INTERFACE IP ADDRESS>
config#interface vlan <MANAGEMENT VLAN ID>
config(int vlan id)#ip address <IP MANAGEMENT> <SUBNET MASK>

Cấu hình hostname và domain name.

config#hostname <HOSTNAME>
config#domain-name <tên gì đó ví dụ hostname.com>

gen key RSA cho SSH

ByteSoft(config)# crypto key generate rsa

  The name for the keys will be: OTGswitch.OTG.com
   Choose the size of the key modulus in the range of 360 to 2048 for your
     General Purpose Keys. Choosing a key modulus greater than 512 may take
     a few minutes.
  
  How many bits in the modulus [512]: 

mặc định 512, Chọn 1024 nếu thích bảo mật hơn

Bật SSH

ByteSoft(config)# line vty 0 4
ByteSoft(config-line)# login local
ByteSoft(config-line)# transport input ssh
ByteSoft(config-line)# exit

Tạo user để truy cập

ByteSoft(config)# username <Account name> privilege 15 secret <PASSWORD>

Lưu lại cấu hình

ByteSoft(config)# do wr

 

Tìm hiểu về 2 chế độ active và passive của FTP

  • Giới thiệu 

Active và Passive FTP: Đây là 2 chế độ hoạt động của FTP server. Bài viết này sẽ giải thích về sự ảnh hưởng khác nhau của Firewall lên 2 chế độ Active và Passive. Bài viết này được viết theo kinh nghiệm của mình.

  • Cơ bản FTP Service

FTP chỉ sử dụng TCP để truyền tải, FTP server sẽ listen trên 2 port 20 và 21, sử dụng port 21 để xác thực, điều khiển ( gọi là control port) và Port 20 để truyền tải dữ liệu ( data Port ). Nhưng data port không hẳn luôn luôn là 20 mà nó phụ thuộc vào FTP mode. Sau khi đọc xong hết bài viết các bạn sẽ hiểu được điều này.

  • Active FTP

Active FTP thì client sẽ đi tới FTP server bằng 1 port ngẫu nhiên unprivileged port ( là port có số lớn hơn 1023 ), sau đây sẽ gọi là port S, để connect tới port command trên server là port 21. Sau đó Client sẽ listen trên port S+1 và gửi command port “port S+1” cho thằng server: tao đang chờ mày ở port S+1. FTP server sẽ connect tới port S+1 của Client bằng data port mặt định của nó là port 20.

Hình ví dụ minh họa cho Active FTP mode.


Ở bước 1, từ command port 1026 Client kết nối tới command port 21 của Server và gửi command port PORT 1027. Server gửi gói tin ACK (hiểu đơn giản là chấp nhận ) về cho Client ở bước 2. Bước 3 Server khởi tạo kết nối từ port data 20 tới port 1027 của Client ( port 1027 là port Client gửi cho Server ở bước 1 ). Và cuối cùng là Client gửi gói tin ACK về cho Server.

Vấn đề chính gặp phải khi sử dụng Active FTP là có thể bị mất kết nối ở phía Client. Client không khởi tạo kết nối tới port data của Server mà nó đơn giản chỉ nói với Server là tôi đang lắng nghe trên port 1027 và chờ Server kết nối tới. Nếu có tồn tại Firewall đứng trước Client thì có thể thằng client listen port 1027 chờ server gửi dữ liệu nhưng bị firewall ở ngoài chặn mất.

  • Passive FTP

Thay vì tập trung giải quyết vấn đề bị firewall chặn ở Active mode, thì một different method (một phương thức kết nối mới cho FTP ) for FTP connections được xây dựng. đó là Passive mode.

Trong passive mode FTP Client khởi tạo 2 connections đến Server, như vậy là giải quyết được vấn đề bên phía Client Blocked connection từ Server đến data port của Client. Passive mode hoạt động như sau.

Khi khởi tạo kết nối thì Client mở 2 ports random unprivileged port local (N > 1023 and N+1 ). Port đầu tiên Client mở connect tới port 21 của Server. Nhưng thay thì gửi PORT command như ở Active mode thì Client sẽ gửi câu lệnh PASV command. Lúc đó Server sẽ khởi tạo a random unprivileged port ( P > 1023)
và gửi P đến Client trong cái response PASV command. Lúc này Client khởi tạo connection từ port N+1 của nó tới port P trên Server và transfer data.


Tại Step 1. Client liên lạc với Server trên command port và đưa ra câu lệnh PASV. Server trả lời ở Step 2 với PORT 1024 và nói với Client đây là port dữ liệu tối đang lắng nghe. Step 3 Client khởi tạo data connection từ port Data của nó tới port 1024 mà Server đã gửi cho nó. Cuối cùng là Server gửi lại gói tin ACK chấp nhận.

Với Passive mode ta giải quyết được nhiều vấn đề ở phía Client, nhưng nó đã mở ra một range port lớn tạo nên các lổ hỏng nguy hiểm cho phía Server. Vấn đề lớn nhất ở đây là phải chấp nhận hầu hết các kết nối port > 1023 trên Server

Vì lý do này nên hầu hết các FTP Service đều được khai báo một range port nhất định, để dễ dàng Control hơn. và tránh rũi ro.

Vấn đề lớn thứ 2 là phía Client không hổ trợ Passive Mode. Ví Dụ như nếu ai sài Solaris thì commandline FTP không hổ trợ cơ chế Passive này mà phải sử dụng FTP software client của hãng khác. ví dụ như ncftp.

Một số lượng lớn người dùng sử dụng Browser (Trình duyệt) của mình để đăng nhập vào FTP server. và trên Browser chỉ hổ trợ Passive mode.

  • Một chú ý khác.

Active FTP Mode không thể hoạt động được với mô hình Client-side NAT Device. Vì thiết bị này không có khả năng thay thế thông tin IP trong FTP Packets.

  • Tổng hợp 

Dưới đây là một biểu đồ nhỏ để giúp chúng ta nhớ được 2 mode FTP trên.

Active FTP :
command : client >1023 –> server 21
data : client >1023 <– server 20

Passive FTP :
command : client >1023 –> server 21
data : client >1024 –> server >1023

Như vậy, với Active FTP thì có lợi cho FTP Server admin, nhưng lại ảnh hưởng tới Client side. Server tạo connetion tới random hight ports trên Client. Có thể sẽ bị Firewall Client Side Blocked. Còn với Passive FTP thì có lợi cho phía Client nhưng thiệt bên FTP Server admin. Client khởi tạo 2 kết nối tới Server với Hight Ports có thể sẽ bị Server Blocked.

Tuy vậy nhưng với kinh nghiệm và hiểu biết của mình thì nếu Support cho một hệ thống với nhiều truy cập FTP từ Client. thì Nên setup Passive mode. Việc Control trên một Server để giúp tất cả Client có thể connect tới thì dễ hơn là việc Control trên Firewall của Từng Client Side.

Cấu hình firewalld và ipset (tạo country blacklist cho firewalld)

Case: bọn trung quốc scan nhiều quá, nên mong muốn block hết IP từ trung quốc lại. Với các hệ thống chuyên nghiệp, FW đời mới hiện nay có thể làm một cách dễ dàng với tính năng GeoIP. Vậy còn các webmaster cá nhân, đơn vị nhỏ chỉ với 1 server public ra ngoài? Họ có thể lựa chọn các giải pháp của cloudflare, akamai, .v. Hoặc cây nhà lá vườn hơn là tận dụng firewalld của centos 7 để làm việc này. Dưới dây là hướng dẫn cách thực hiện:

Bước 1: tạo blacklist cho firewalld
firewall-cmd --permanent --new-ipset=blacklist --type=hash:net --option=family=inet --option=hashsize=4096 --option=maxelem=200000


–permanent : lưu cấu hình vĩnh viễn vào firewalld, nếu không có, sau khi khởi động lại firewall thì lệnh này sẽ mất hiệu lực
–new-ipset : tên của danh sách IP, ở đây chúng ta đặt là blacklist cho dễ quản lý, k thích có thể dùng tên khác như là danhsachden chẳng hạn
–type : kiểu lưu trữ, net dành cho subnet, nếu là 1 IP đơn lẻ thì dùng ip (–type=hash:ip)
–option=family : IPv4 or IPv6 network, inet is for IPv4
–option=hashsize : the initial hash size of the list
–option=maxelem : Số lượng phần tử tối đa của list, ở đây để 200k

Bước 2: tiếp theo chúng ta cần danh sách cái subnet tương ứng với đám IP cần block, ở đây là danh sách các subnet tương ứng với vùng Trung Quốc (CN)_
May thay, trên mạng có sẵn rồi, ở trang ipdeny có đủ toàn bộ thông tin này cho chúng ta. Download về mà xài thôi
wget http://www.ipdeny.com/ipblocks/data/countries/all-zones.tar.gz
tar -vxzf all-zones.tar.gz

cd vào thư mục vừa giải nén, sẽ thấy cả loạt các file text .zone tương ứng với từng quốc gia. Add file của Trung Quốc vào list đã tạo ở trên:
firewall-cmd --permanent --ipset=blacklist --add-entries-from-file=./cn.zone
Chỗ đường dẫn file cn.zone nhớ sửa cho đúng, mình đang đứng trong folder chứa nó nên chỉ là ./ thôi

Bước 3: Chuyển cái list đã add IP ở 2 bước trên sang vùng drop của firewalld
firewall-cmd --permanent --zone=drop --add-source=ipset:blacklist
firewall-cmd --reload

Như vậy, IP source tương ứng với ipset:blacklist sẽ bị firwalld drop 1 cách tự động.
Muốn thêm vùng cần chặn vào thì chỉ cần cho các subnet vào file text theo format của đám .zone đã download ở trên. sau đó
firewall-cmd --permanent --ipset=blacklist --add-entries-from-file=đường dẫn file
Muốn remove 1 số ông khỏi cái list đen đó, thì cũng chỉ add hết subnet cần remove vào 1 file text, ví dụ /tmp/remove_ip.txt
Sau đó chạy:
firewall-cmd --permanent --ipset=test --remove-entries-from-file=/tmp/remove_ip.txt
firewall-cmd --reload

—–

Trick:
Đôi khi cần chặn gấp 1 subnet nào đó. Ngoài cách dùng file như trên, có thể sử dụng script:
firewall-cmd --permanent --ipset=blacklist --add-entry=$1
firewall-cmd --ipset=blacklist --add-entry=$1
firewall-cmd --reload

Lưu lại dưới tên /bin/ban (nhớ chmod +x cho nó nhé)
Mỗi lần cần chặn ai đó, ví dụ chặn khẩn cấp thằng 10.0.5.0/24
Chỉ cần gõ lệnh:
ban 10.0.5.0/24
Nhanh và gọn
Chúc các bạn thành công! (k thành công cũng thành nhân)