Cisco VPN Client a Comodo firewall si nerozumí

Nedávno jsem na svůj notebook instaloval Cisco VPN clienta, což je software od Cisca umožňující bezpečné připojení do firemní privátní sítě skrz internet. Obvykle funguje velmi spolehlivě a  svižně. V tomto případě jsem ale narazil na velmi podivné chování.

Při instalaci na čerstvě naintalovaný notebook s Windows XP SP2 jsem ale nebyl schopen VPN klienta vůbec nainstalovat. Přitom na předchozí instalaci stejného OS na tom samém stroji fungoval bez ztráty kytičky. Pár hodin mi zabralo, než jsem zjistil, že problém je v kompatibilitě s Comodo firewallem. Jakmile jsem Comodo odinstaloval, vše fungovalo jako na drátkách. Zkoušel jsem ještě nainstalovat Comodo až po úspěšné instalaci VPN klienta. Pak se sice VPN klient spustil, ale nezdařilo se mu navázat připojení. Nestačilo ani vypnutí firewallu, musel být odinstalovaný. Během pokusu o spuštění instalace VPN klienta, ani při vytváření VPN spojení, se Comodo nedotázalo na povolení/zakázání aktuálně prováděné akce či přístupu k síti.

Cisco zalicencovalo ZoneAlarm firewall engine a použilo ho jako součást VPN klienta. Je tedy dost možné, že se nesnese na jednom stroji s dalším firewallem v podobě Comoda. Zaznamenali jste podobný problém ještě s jiným firewallem instalovaným na stanici?

Situaci jsem vyřešil přechodem na ZoneAlarm, se kterým zmizeli veškeré problémy. S integrovaným firewallem v systému Windows XP nemá Cisco VPN rovněž žádné problémy. Ten ale přeci jen neposkytuje plnohodnotnou bezpečnost podle mých představ. Už samotná ignorace veškeré odchozí komunikace není na dnešní poměry příliš vhodná. Výběr firewallu je ale téma na samostatný článek.

Shrnuto podtrženo aktuální verze Cisco VPN Clienta nefunguje korektně na jednom stroji zároveň s Comodo firewallem. Prozatím doporučuji změnit firewall a počkat, zda jeden z budoucích releasů toho či druhého sotwaru problém nevyřeší.

Úspěšně jsem dokončil kurz CCNA4 na Cisco Networking Academy

Minulý týden jsem se konečně odhodlal ke složení závěrečné zkoušky z posledního kurzu Cisco Networking Academy (CNA). Praktickou konfigurační zkoušku jsem již měl hotovu pár týdnů předem, takže tato teoretická byla poslední povinností k úspěšnému uzavření kurzu.

A výsledek? Vše se povedlo dle mých představ, což mě velmi potěšilo. Koněčně mi zase přibyl nějaký ten certifikační úspěch.

Poslední tři kurzy (CCNA2, CCNA3, CCNA4) jsem absolvoval v dejvické akademii, kde vládne velmi příjemné prostředí a potkal jsem tu pár velmi fajn lidí. Můj dík patří Radovi Igliarovi, jakožto skvělému lektorovi, akademii jako takové a držím palce ostatním, kteří mají zkoušku ještě před sebou.

Dokončením CCNA4 s dalším rozvojem Cisco znalostí nekončím a v průběhu zaří se chystám jít na zkoušku CCNA s úmyslem získat CCNA certifikaci. Takže další milník mám před sebou a opět mám co dělat:)

Pohrávám si také s myšlenkou, že bych odučil nějaký ten kurz na CNA, ale bohužel mi na to v tuto chvíli nezbývá volný čas. Ale kdo ví, třeba se jednou mince času obrátí.

Od října pak budu navštěvovat Cisco CCIE inkubátor, do kterého si mě vybral partner Cisca společnost Alef0. Tady od července s nadšením pracuji a moc se těším na naší další spolupráci. Alef0 má v posádce (symbolem Alefu je ponorka, proto mluvím o posádce) opravdu velmi schopné lidi, a tak je pro mě čest pracovat v jejich týmu.

Jak nastavit TCP/IP parametry ve Windows XP z příkazového řádku?

Podobně jako lze nastavit TCP/IP z příkazového řádku ve Windows Vista, je možné pomocí příkazu netsh provést totéž nastavení i na Windows XP. Jediná odlišnost v syntaxi příkazu. Je třeba si dát hlavně pozor na to, že Windows XP označují IP protokol jako “ip”, naproti tomu Vista uznává “ipv4”.

Následující ukázka nastaví statickou IP adresu 10.0.0.12, masku 255.255.255.0, primární DNS server 10.0.0.1, sekundární DNS 10.0.0.2 a vymaže DNS cache. To vše bude provedeno na síťovém připojení s názvem LAN (výchozí název nového připojení je “Připojení k místní síti”, v našem případě je přejmenováno na LAN).

Ruční konfigurace:

netsh interface ip set address name=”LAN” static 10.0.0.12 255.255.255.0 10.0.0.1 1
netsh interface ip set dns name=”LAN” static 10.0.0.1 primary
netsh interface ip add dns name=”LAN” 10.0.0.2 2
ipconfig /flushdns

Nastavení síťového připojení s názvem LAN pro automatické získávání IP adresy z DHCP serveru:

netsh interface ip set address name=”LAN” source=dhcp
netsh interface ip set dns name=”LAN” source=dhcp
ipconfig /flushdns
ipconfig /renew LAN

Grafické nástroje

Pokud nejte zrovna příznivci příkazového řádku a často cestujete mezi různými sítěmi, využijte služeb některé z následujících grafických utilit, které mohou kromě nastavení IP parametrů připojení nabídnout i třeba změnu proxy serveru v prohlížeci či adresu poštovního SMTP serveru.

Freeware:

http://www.milnersolutions.com/netprofiles/
http://www.zetswitch.com/indexcz.php?lang=cs

Komerční nástroj:

http://www.sosej.cz/Utility-A-Ovladace/Utility-A-Ovladace-Ostatni/Net-Profile-Switch.html

Online nástroje zdarma pro diagnostiku domén a protokolů TCP/IP

Na internetu je možno narazit na celou řadu online diagnostických nástrojů. Umějí ověřit nastavení vašeho firewallu, odeslat zkušební e-mail dle vámi zadaných parametrů nebo třeba vypsat výsledek DNS dotazu na váš DNS server. Mnoho z nich je možno nalézt ve volně použitelné podobě. Během jejich používání jsem sepsal dohromady několik zajímavých odkazů. Stačí si jen vybrat, který vám sedne nejlépe.

Velmi obsáhlá sbírka odkazů na jednotlivé nástroje: http://tatumweb.com/iptools.htm
Obdobný seznam: http://networktools.tk

Stručná a přehledná sada nejužitečnějších utilit: http://centralops.net/co
Česká stránka s nástroji: http://www.nmonitoring.com/?ln=cz

Placený ale nejlepší nástroj ve svém oboru: http://www.dnsstuff.com

Pokud máte radši řádkové nástroje integrované v OS, pak určitě znáte nslookup, ping, tracert, pathping, netstat, ipconfig a řadu dalších.

Jak vypnout STP protokol na ASUS WL-500g a WL-500gP?

O víkendu jsem se věnoval security hardeningu svého domácího routeru a kontroloval nastavení. Při zachytávání paketů Wiresharkem jsem zjistil, že router kromě jiného posílá každé 2 sekundy BPDU Spanning Tree Protokolu (STP). Jelikož v síti nemám více prvků a na smyčky si dávám pozor, rozhodl jsem se STP zakázat. Proč zbytečně posílát něco, co nepotřebuji?

Jak na to? Přes webové rozhraní tuto funkci nenastavíme. Musíme se k routeru připojit pomocí telnetu. Váš telnet klient se připojí k routeru a uvidíte příkazový řádek, kde vše pomocí několika málo příkazů nastavíme.

1. Spusťte vašeho telnet klienta. Příklady telnet klientů: Putty, Microsoft Telnet Client (integrovaný ve Windows XP)

Poznámka pro uživatele Windows Vista: Váš operační systém neobsahuje po výchozí instalaci Microsoft Telnet klienta a je potřeba si ho doinstalovat nebo použít jiný nástroj.

2. Připojte se k zařízení. Pro zjednodušení budu od této chvíle v návodu používat Microsoft Telnet klienta. Není potřeba ho nijak nastavovat, a tak ho stačí jen spustit a zadávat příkazy.

Do Start -> Spustit vepište příkaz ve tvaru “telnet 192.168.101.1”, kde 192.168.101.1 je IP adresou vašeho routeru.

Pokud se vám nedaří spojit přes telnet, ověřte si přes webové rozhraní routeru, že máte přístup pomocí tohoto protokolu povolený: http://192.168.101.1 -> System Setup -> Services -> Enable telnet access

Poznámka: Doporučuji vše konfigurovat z lokální sítě – tedy nikoliv z WAN. Používat telnet skrz WAN prostředí není bezpečné.

3. Přihlašte se jako administrátor. Výchozí uživatelské jméno je admin. Po zadání jména a hesla stiskněte vždy klávesu Enter.

4. Zjistěte si aktuální stav protokolu spanning tree pomocí příkazu “brctl show”. Stav protokolu je buď yes – zapnuto nebo no – vypnuto.

5a. Dočasné vypnutí STP lze provést příkazem ” brctl stp br0 off”. Zapnutí pak obdobně pomocí “brctl stp br0 on”.

5b. Trvalé zakázání STP zařídíte následujícími dvěma příkazy a restartem zařízení.

“nvram set lan_stp=0”
“nvram commit”
“reboot”

Zajímavé nástroje na měření propustnosti sítě

V praxi jsem mnohokrát narazil na úžasné hodnoty přenosové rychlosti, kterou deklarují výrobci u svých síťových produktů. Nutno dodat, že mnohokrát nejde jen o marketing a rychlost je opravdu zajímavá, ale skutečná využitelná rychlost přenosu pro data je mnohdy o hodně nižší. Není nad to, proměřit si vlastními silami propustnost sítě a zjistit, kde by případně mohlo být ono úzké hrdlo a na základě výsledků se zaměřit na jeho minimalizaci. Rychlost a latence jsou velmi ožehavým tématem bezdrátových sítí, a tak je testování reálné rychlosti přenosu celkem na místě.

Zaměřil jsem se hlavně na příkazové utility, které není problém spustit téměř kdekoliv. Navíc jsou velmi malé, a tak se vejdou i na  sebemenší flash disk. Všechny zmíněné nástroje fungují na bázi klient server. Na jednom stroji spustím listener, z druhého se připojím a měření může začít. Kandidátem na vítěze by mohl být Iperf, který se mimo jiné pyšní podporou řady platforem, a a tak není problém ho provozovat pod Windows, Mac OS, Linuxem či Solaris. Podporuje ale také navíc logování výstupu a umí běžet jako služba pod Windows či démon pod Unixem. To se může hodit při měřeních, která běží několik hodin či dnů.

TTCP

Test TCP (TTCP) is a command-line sockets-based benchmarking tool for measuring TCP and UDP performance between two systems. It was originally developed for the BSD operating system starting in 1984. The original TTCP and sources are in the public domain, and copies are available from many anonymous FTP sites.

Web: http://www.pcausa.com/Utilities/pcattcp.htm

Iperf

While tools to measure network performance, such as ttcp, exist, most are very old and have confusing options. Iperf was developed as a modern alternative for measuring TCP and UDP bandwidth performance.
Iperf is a tool to measure maximum TCP bandwidth, allowing the tuning of various parameters and UDP characteristics. Iperf reports bandwidth, delay jitter, datagram loss.  

Web: http://dast.nlanr.net/projects/Iperf/

Net IO

This is a network benchmark for, OS/2 2.x, Windows NT/2000 and Unix. It measures the net throughput of a network via NetBIOS, TCP and UDP protocols (Unix only supports TCP and UDP) using various different packet sizes. One instance has to run on one machine as a server process, another instance is used on another machine to perform the benchmark. When executed without arguments, the program will explain its usage.

Web: http://www.ars.de/ars/ars.nsf/docs/netio 

MicroTik Bandwidth test tool for Windows

V tomto případě se jedná o grafickou utilitu fungující na stejném principu jako výše uvedené. Oproti Iperfu jsou možnosti této utility poměrně omezené. Zkoušel jsem verzi 0.1, takže snad přístí verze nabídnou větší nastavitelnost.

Web: http://www.mikrotik.com/download.html

Dokončil jsem kurz CCNA3

cisco.gifPo dalším semestru studia Cisco Networking Academy se mi podařilo úspěšně zakončit CCNA3 kurz. V příštím semestru bych rád pokračoval posledním kurzem z této série CCNA4. Láká mě také ještě další kurz, a sice FWL (Fundamentals of Wireless LAN). S bezdrátovými sítěmi jsem nasbíral řadu praktických zkušeností, a tak bych měl možnost je dále prohloubit a nastudovat detailněji potřebnou teorii. Už se těším :)

CCNA3 – Switching a mezilehlé směrování

V průběhu studia třetího semestru jsem získal velmi slušný přehled a znalosti ze základů přepínání a mezilehlého směrování včetně praktických zkušeností. Kurz jsem dokončil v lednu 2008. Tématicky šlo především o:

  • rozšířené IP adresaci (VLSM)
  • směrování a směrovacích protokolech RIPv2, single-area OSPF, EIGRP
  • konfiguraci přepínačů z příkazové řádky
  • Ethernet přepínání a virtuálních sítích (VLAN)
  • STP protokolu (Spanning-Tree Protocol)
  • VTP protokolu (VLAN Trunking Protocol)
  • Certifikát: CCNA3 Certificate of Course Completion
    Gratulace: CCNA3 Congratulations