Pas Nov 17 2023 at 17:59

Сказ о том, как случайно не сделать роутер Cisco публичным DNS и NTP сервером

Easy

6 min

12K

Information Security*System administration*Cisco*Network hardware

Tutorial

+23

Comments 26

sYB-Tyumen Nov 18 2023 at 05:18

Если NTP серверов несколько, то хорошим тоном будет вешать на один из них prefer. Иначе, если качество доступа к ним окажется очень хорошим и синхронизация самих серверов будет на высоте, то роутер просто не сможет решить, который из серверов выбрать (случай из практики; 3845 с каким-то 12-м IOS, если не ошибаюсь)

lex899 Nov 18 2023 at 12:12

будьте поаккуратнее с использованием DNS-имён для NTP-серверов — это часто тормозит загрузку роутера

Можно просто выкинуть option 42 из DHCP и не поднимать NTP на домашней железке.

Pas Nov 18 2023 at 21:59

В данном сетапе внутренний NTP сервер нужен был для горы железных админок, которые торчат в OOB-сети. Тем не менее, самой Cisco тоже надо откуда-то время брать, даже без раздачи его в локалку.

lex899 Nov 19 2023 at 07:47

Я говорил именно про домашнюю сеть. Зачем самой cisco время? Чтобы поднимался vpn и логи удобно было анализировать... в домашней сети? Это так же удивительно как cisco за $500 в домашней сети.

Мне очень Linksys нравился в свое время.

cadetandrey Nov 21 2023 at 14:28

Да - да - да Удивляйтесь у меня и на даче Cisco и вафля тоже

Pas Nov 21 2023 at 14:35

А я не знаю куда девать пачку 2602I и два базовых контроллера: вроде как живые, но в офисе сняли при замене на AX, дома тоже не нужны,так как тоже AX стоят от Unifi, вот и думаю куда пристроить. Видать на дачу и осталось тащить. С вафлёй смена поколений более остро чувствуется.

cadetandrey Nov 21 2023 at 18:48

куплю

shvedalexey Nov 18 2023 at 21:54

Кто в здравом уме на l3-коммутатор будет вешать белый ip и выставлять наружу? Эти железки не для этого.

Pas Nov 18 2023 at 21:56

ISR — это модельный ряд роутеров. Именно такие выставляют попой в интернет.

turbidit Nov 19 2023 at 00:18

Не увидел - где тут привязка dhcp-сервера к LAN?

devops-off Nov 19 2023 at 13:45

Добрый день, встречал ещё провайдеров где обязательно и mtu прописать, иначе некоторые ресурсы не открываются.

vasilijmooduckovic Nov 20 2023 at 12:38

ничего не понятна!, можно сделать тоже самое на asdm?

Pas Nov 20 2023 at 12:47

Боюсь что нет, насколько мне известно, ASDM только с Cisco ASA умеет работать, а не с IOS/IOS-XE.

navion Nov 20 2023 at 17:34

ASA лучше подходит для таких сценариев, она сильно проще в настройке и скоро перегонит IOS по фичам. В 9.18 даже появились loopback-интерфейсы для BGP.

Pas Nov 20 2023 at 17:42

Не могу сосчитать количество лет, сколько это говорят ))

И с простотой вопрос дискуссионный, имхо, так как там есть свои наркоманские конструкции в конфиге.

navion Nov 22 2023 at 15:55

Наркомания в основном с ACL при отсутствии vti и loopback, зато редактировать ACL через ASDM одно удовольствие.

В своё время переход с IOS сильно поднял качество жизни в моём SMB, а на Западе ASA 5505 была стандартном де-факто для небольших филиалов и домашних офисов.

Derek_Hu Dec 13 2023 at 21:11

ASA уже мертвый продукт, вряд ли далеко уедут

navion Dec 15 2023 at 19:51

Я так и не понял её статуса, новый фичи продолжают добавлять и ASA до сих пор основная платформа для AnyConnect. При этом есть Firepower, который намного лучше подходит на роль "офисного роутера".

0HenrY0 Dec 13 2023 at 18:58

ACL на аплинковом порту interface GigabitEthernet0/0/0 разве не решит эту проблему?

SolidSn9ke Dec 13 2023 at 20:27

Не мешай людям извращаться)

braonle Dec 13 2023 at 21:50

Вообще, у циски есть целый гайд на этот счет, в котором существенно больше закрываемых дырок конфига из коробки.

iddqda Dec 14 2023 at 09:59

пару замечаний

не используйте в вашей сохо 192.168.0 или 192.168.1 просто потому что эта адресация используется в 99% других сохов и если чисто гипотетически когда нибудь придется подключаться к другим сохам через ВПН придется разгребать грабли, которые можно было убрать с самого начала
это заклинание:

 snmp-server host 198.51.100.254 version 2c CommunityName

указывает циске куда слать трапы
для ограничения SNMP клиентов используется другое:

snmp-server community BLABLABA RO 123

где RO значит ReadOnly, а 123 - номер ACL с списком клиентов

Pas Dec 14 2023 at 14:05

Спасибо за замечания. Про первое не соглашусь, так как как не раскидывай по приватным префиксам, если будешь интегрироваться, скорее всего в любом случае будет грозить перенумерация.

А про SNMP спасибо, дополню в текст.

ColdSUN Dec 14 2023 at 13:42

Насколько же проще такое реализовать на FortiGate. Тоже железка не для SOHO, но сильно проще в настройке.

0HenrY0 Dec 14 2023 at 18:36

На FortiGate закрыть цепочку input та ещё задача.

Отдельная feature Local In Policy. Через web-интерфейс доступна только на чтение.

ColdSUN Dec 15 2023 at 11:27

Вот только NTP и DNS там на определённый интерфейс вешаются. Не надо на WAN интерфейс их вешать и тогда и в Local In Policy закрывать не надо.

Проблема разве что с SNMP, но там тоже есть немного не элегантное решение. Доступ к snmp, вебу и ssh открываться в локальных политиках на адреса trusted hosts в админах. Если всем админам дать доступ только с доверенных адресов, то FortiGate не будет отвечать на запросы с других адресов ни на веб интерфейс, ни на ssh, ни на snmp.

Show the best of all time