О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Маршрутизаторы Элтекс

MES, ESR
syjet
Сообщения: 4
Зарегистрирован: 30 июн 2016 05:39
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение syjet » 28 окт 2018 04:57

leonid_zarkov писал(а):
Elter писал(а):Добрый день, можно ли журналировать nat трансляции.

Добрый день!

Журналирования трансляций на маршрутизаторе нет, но можно настроить NetFlow сенсор и передавать информацию на коллектор, где будет храниться вся информация о трафике и трансляциях.

И как вы предлагаете сдавать Сорм без нат трансляций?!

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 29 окт 2018 19:34

Добрый день!
Как сбросить пароль пользователя в esr ?

Niko87
Сообщения: 71
Зарегистрирован: 26 сен 2017 16:51
Reputation: 0
Откуда: Смоленск

Re: Маршрутизаторы Элтекс

Сообщение Niko87 » 30 окт 2018 19:03

Полный сброс конфигурации?
Кнопочка F подержать > 10 секунд.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 02 ноя 2018 16:46

Это понятно, нужно на enable.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 02 ноя 2018 16:52

Как можно правильно реализовать НАТ в обе стороны между двух vlan ?

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: Маршрутизаторы Элтекс

Сообщение leonid_zarkov » 06 ноя 2018 14:14

Garri писал(а):Как можно правильно реализовать НАТ в обе стороны между двух vlan ?

Добрый день!
Необходимо настроить Static NAT, пример по ссылке
http://kcs.eltex.nsk.ru/articles/1227
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 06 ноя 2018 17:26

Хелп!
Пытался сделать по примеру, возникла проблема при сохранении конфигурации (commit). Связь отвалилась и прошлось выдернуть питание.
При загрузки esr не может применить мой конфиг.
Скорее всего я ошибся при указании сети (наверно написал сеть в место адреса или перепутал source с destination):
action source-nat netmap сеть static
Возможно как-нибудь в безопасном режиме восстановить или подправить? Или теперь придется сбрасывать на дефолт?

Код: Выделить всё

2018-11-06T09:50:48+00:00 <recv_message> /usr/bin/cfgsync-mgr: _read header failed (44)! EAGAIN or EWOULDBLOCK, pid = 205, wait_result = -1
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <printf_iptables_config_nat_chains_destination> ESRconfig_security_zones_search_zone failed
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <printf_iptables_config_static_nat_rules> printf_iptables_config_nat_chains_destination failed
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <printf_iptables_config_nat> printf_iptables_config_static_nat_rules failed
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <printf_iptables_config> printf_iptables_nat failed
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <ESRconfig_generate_config_netfilter> can't generate config
2018-11-06T09:50:49+00:00 %ESR_CONFIG-E-ERR: <ESRconfig_generate_configs> ESRconfig_generate_config_netfilter failed
2018-11-06T09:50:49+00:00 %SYS-W-EVENT: !!! ************************************************************** !!!
2018-11-06T09:50:49+00:00 %SYS-W-EVENT: !!! Failed to start with user configuration                        !!!
2018-11-06T09:50:49+00:00 %SYS-W-EVENT: !!! Start with default configuration                               !!!
2018-11-06T09:50:49+00:00 %SYS-W-EVENT: !!! ************************************************************** !!!
Setting hostname to 'esr-200'...done.

esr-200# sh run

WARNING!!! The running configuration has not been loaded from NAND flash.
This command displays the current running configuration of the device.
After the execute 'commit' configuration on the NAND flash will be overwritten,
and the warning will disappear.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 07 ноя 2018 20:29

Что-то никак пока не получается.
Схема такая:
Esr двумя линками (Po1) подключён к MES, в линках сейчас бегают два VLAN - 2,3. На bridge1 - vlan2 на bridge2 - vlan3. У тестовых пк, соответственно, шлюзами в своих влан выступает ESR (каждый для своего). Не получается настроить по http://kcs.eltex.nsk.ru/articles/1227 нат из 2 в 3 и обратно .
Что не так и куда копать?

bravo
Сообщения: 873
Зарегистрирован: 19 июн 2015 17:38
Reputation: 6

Re: Маршрутизаторы Элтекс

Сообщение bravo » 07 ноя 2018 20:56

так и хочется сказать - в маршрутизацию...
Тех. саппорт от коллег в telegramm:
https://t.me/eltex_experts
@eltex_experts

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Маршрутизаторы Элтекс

Сообщение Garri » 08 ноя 2018 18:45

Решилось созданием pool-в с адресами в нате и далее - action source-nat pool "ИМЯ-пула".
Как в доках с action source-nat netmap "сеть" static не работает, может руки кривые.

Senturion
Сообщения: 13
Зарегистрирован: 20 июл 2018 21:06
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Senturion » 27 дек 2018 16:23

o/
Обращаюсь к разработчикам.
Столкнулся с интересной ситуацией.

Имеется:
два esr1200
функционал - отказоустойчивый(vrrp) border + bgp AS annocement

собственно присутствует ассиметричный трафик (что как-бы нормальное явление в подобной конфигурации)
esr весь трафик, который не попадает в state table по умолчанию дропает.
чтобы разрешать ассиметричный трафик приходится выключать на интерфейсах модуль firewall. как следствие, нельзя отфильтровать любой трафик. даже не транзитный, а идущий к самому маршрутизатору.
в итоге имеем брутфорсеры на ssh сервисах маршрутизаторов, ddos на bgp (tcp 179) и если бы не bgp-blackhole, то было бы совсем тоскливо.

вот в цисках например эта проблема элементарно решается фильтрацией на уровне приложения, а не ядра операционки.
создаётся acl и привязывается к локальному сервису (ssh, telnet например)
да, получится 2 фильтра, на уровне ядра операционки (модуль firewall в esr) и на уровне самого сервиса(ssh, telnet,ftp,bgp,ospf и т.д.), именно на случай отключенного модуля firewall.

вот реализовать бы подобное решение, и эксплуатация esr в среде с ассиметричным трафиком стала бы не в пример безопаснее.
спасибо.

Senturion
Сообщения: 13
Зарегистрирован: 20 июл 2018 21:06
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Senturion » 05 янв 2019 02:20

o/

sh version
Boot version:
1.3.0.100 (date 06/10/2017 time 16:33:54)
SW version:
1.4.0 build 115[2e24edd] (date 28/05/2018 time 10:08:53)
HW version:
1v2

Обнаружил ещё одну забавную ситуацию, связанную с анонсом сетей протоколами динамической маршрутизации (bgp проверено,ospf и rip не проверено) в esr.

Проблема возникает, когда на eltex пытаемся анонсировать сеть, которая не directly connected и на которую отсутствует статический маршрут.

Конфигурация следующая:
Eltex directly connected к сети /27, которая является подсетью анонсируемой (им же) по eBGP /24.

Анонсируемая сеть попадает в RIB от iBGP соседа, однако при потере связи с ним соответственно из RIB удаляется, что совсем не гуд для меня.

Как известно, для того чтобы сеть анонсировалась, необходимо, чтобы она присутствовала в RIB, а так же присутствовала в FIB.

Собственно целью для меня стало иметь /24 сеть в RIB и FIB для её анонса по еBGP в не зависимости от состояния iBGP соседа.

Проблема-то из азбуки, и решается например в cisco добавлением статического маршрута на null интерфейс
например так
interface Null0
no ip unreachables
ip route x.x.x.x 255.255.255.0 Null0 permanent

Да вот беда, у Eltex Null интерфейсов нету :)
Добавить интерфейс из /24 сети не получится, т.к. будет пересечение с directly connected /27 сетью :)
На loopback интерфейсы маршрут не создать :)
ip route x.x.x.x
A.B.C.D IP gateway
blackhole Route to silently drop packets
interface Configure interface
prohibit Route to return packets as administratively prohibited
tunnel Configure tunnel
unreachable Route to return packets as unreachable
wan Configure wan

Ну можно конечно создать маршрут на blackhole(например), но тут тоже имеются ньюансы.

Созданный маршрут должен по приоритету быть ниже, чем получаемый от iBGP соседа, иначе весь трафик в /24 сеть пойдёт не по iBGP а просто дропнется.

Однако и здесь заботливо раскиданы грабельки :) маленькие

sh ip protocols
BGP:
Max routes: --
Preference: 170
OSPF:
Max routes: --
Preference: 150
RIP:
Max routes: --
Preference: 100
Static:
Preference: 1

По умолчанию у статических маршрутов приоритет 1, а у bgp 170
Однако, хвала разработчикам приоритеты можно поменять.
Для меня равенства приоритетов оказалось достаточно, ибо 0.0.0.0/0 я по eBGP не получаю.

Итак имеем
(config)# ip protocols static preference 170
(config)# ip route x.x.x.0/24 blackhole 255

метрику поставил 255 чтобы уж наверняка маршрут был с наименьшим приоритетом
Вот такой вот лайфхак получился.

ratemaki
Сообщения: 6
Зарегистрирован: 16 янв 2019 21:58
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение ratemaki » 22 янв 2019 17:20

Senturion писал(а):o/

По умолчанию у статических маршрутов приоритет 1, а у bgp 170
Однако, хвала разработчикам приоритеты можно поменять.
Для меня равенства приоритетов оказалось достаточно, ибо 0.0.0.0/0 я по eBGP не получаю.

Итак имеем
(config)# ip protocols static preference 170
(config)# ip route x.x.x.0/24 blackhole 255

метрику поставил 255 чтобы уж наверняка маршрут был с наименьшим приоритетом
Вот такой вот лайфхак получился.


Возможно ли поменять значение preference у конкретного статического маршрута?

Elter
Сообщения: 12
Зарегистрирован: 12 окт 2016 10:58
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Elter » 29 янв 2019 09:49

syjet писал(а):
leonid_zarkov писал(а):
Elter писал(а):Добрый день, можно ли журналировать nat трансляции.

Добрый день!

Журналирования трансляций на маршрутизаторе нет, но можно настроить NetFlow сенсор и передавать информацию на коллектор, где будет храниться вся информация о трафике и трансляциях.

И как вы предлагаете сдавать Сорм без нат трансляций?!


Сорм давно сдан.

Elter
Сообщения: 12
Зарегистрирован: 12 окт 2016 10:58
Reputation: 0

Re: Маршрутизаторы Элтекс

Сообщение Elter » 29 янв 2019 09:52

Тут ночью линк отваливался, по логу пишет такие вот вещи:

Код: Выделить всё

2019-01-29T03:54:41+07:00 %LINK-ENABLE: port tengigabitethernet 1/0/1 disabled
2019-01-29T03:54:41+07:00 %LINK-I-SFP: interface tengigabitethernet 1/0/1: detected transceiver - 10G SFP+ passive copper cable
2019-01-29T03:54:39+07:00 %LINK-W-DOWN: tengigabitethernet 1/0/1 changed state to down
2019-01-29T03:54:39+07:00 %PSTATE: interface tengigabitethernet 1/0/1: firmware of XPHY is dead!


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей