ESR200 - вопросы документации

[vlakar]

При в терминале постоянно лезет на экран это

Код: Выделить всё

2018-02-20T17:11:07+07:00 %AAA-I-SSH: Timeout, client not responding.
2018-02-20T17:11:07+07:00 %AAA-LOCAL-I-SESSION: ssh: session closed for user admin
2018-02-20T17:11:08+07:00 %AAA-I-SSH: reverse mapping checking getaddrinfo for hostby.channelnet.ie [5.188.86.215] failed - POSSIBLE BREAK-IN ATTEMPT!
2018-02-20T17:11:08+07:00 %AAA-I-SSH: Accepted password for admin from 5.188.86.215 port 43011 ssh2
2018-02-20T17:11:08+07:00 %AAA-LOCAL-I-SESSION: ssh: session opened for user admin
2018-02-20T17:11:14+07:00 %AAA-I-SSH: Timeout, client not responding.
2018-02-20T17:11:14+07:00 %AAA-LOCAL-I-SESSION: ssh: session closed for user admin
2018-02-20T17:11:15+07:00 %AAA-I-SSH: reverse mapping checking getaddrinfo for hostby.channelnet.ie [5.188.86.213] failed - POSSIBLE BREAK-IN ATTEMPT!
2018-02-20T17:11:15+07:00 %AAA-I-SSH: Timeout, client not responding.
2018-02-20T17:11:15+07:00 %AAA-LOCAL-I-SESSION: ssh: session closed for user admin
2018-02-20T17:11:15+07:00 %AAA-I-SSH: Accepted password for admin from 5.188.86.213 port 45763 ssh2
2018-02-20T17:11:15+07:00 %AAA-LOCAL-I-SESSION: ssh: session opened for user admin
2018-02-20T17:11:16+07:00 %AAA-I-SSH: Timeout, client not responding.
2018-02-20T17:11:16+07:00 %AAA-LOCAL-I-SESSION: ssh: session closed for user admin


Как отключить ???
пересмотрел тут esr_series_cli_1.3.0 и тут esr_series_user_manual_1.3.0 ничего не нашел
Еще ругается на эту команду
esr(config-l2tp)# remote-address address-range 10.10.10.5-10.10.10.15
а вот так принимает
object-group network l2tp_remote
ip address-range 10.10.10.2-10.10.10.15
exit
esr(config-l2tp)#remote-address object-group network l2tp_remote

почему ? неверный синтаксис или я чегой то не так делаю ?

[vlakar]

Задача обеспечить доступ к двум видеорегистраторам из внешки на один IP-адрес ХХ.ХХХ.ХХХ.246 но по разным портам 8080 и 8081, подойдет для этой цели функция Destination NAT ?
Если прописать так

Код: Выделить всё

NET_UPLINK1 – профиль адресов публичной сети;
SERVER_IP1 – профиль адреса регистратора 1 в локальной сети;
SRV_HTTP1 – профиль портов.

esr(config)# object-group network NET_UPLINK1
esr(config-object-group-network)# ip address ХХ.ХХХ.ХХХ.246
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port-range 8080
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address 192.168.1.4
esr(config-object-group-network)# exit

NET_UPLINK2 – профиль адресов публичной сети;
SERVER_IP2 – профиль адреса регистратора 2 в локальной сети;
SRV_HTTP 2– профиль портов.

esr(config)# object-group network NET_UPLINK2
esr(config-object-group-network)# ip address ХХ.ХХХ.ХХХ.246
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP2
esr(config-object-group-network)# port 8081
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP2
esr(config-object-group-network)# ip address 192.168.1.5
esr(config-object-group-network)# exit


Или можно так сделать ?

Код: Выделить всё

esr(config)# object-group network NET_UPLINK
esr(config-object-group-network)# ip address ХХ.ХХХ.ХХХ.246
esr(config-object-group-network)# exit
esr(config)# object-group service SRV_HTTP
esr(config-object-group-network)# port-range 8080-8081
esr(config-object-group-network)# exit
esr(config)# object-group network SERVER_IP
esr(config-object-group-network)# ip address-range 192.168.1.4-192.168.1.5
esr(config-object-group-network)# exit


[leonid_zarkov]

При в терминале постоянно лезет на экран это

Настройка уровня логирования для консольного подключения:

Код: Выделить всё

esr(config)# syslog console info
  SEVERITY  Select severity:
               emerg   notice
               alert   info
               crit    debug
               error   none
               warning


для удаленного:

Код: Выделить всё

esr(config)# syslog monitor info
  SEVERITY  Select severity:
               emerg   notice
               alert   info
               crit    debug
               error   none
               warning


Смените пароль для пользователя admin и лучше поменять порт по умолчанию для SSH:

Код: Выделить всё

esr(config)# username admin
esr(config-user)# password <PASSWORD>
esr(config-user)# exit
esr(config)# ip ssh port <PORT>


Еще ругается на эту команду
esr(config-l2tp)# remote-address address-range 10.10.10.5-10.10.10.15

В версии ПО 1.3.0 такая команда валидна, вы в какой версии ПО настраивали?

[leonid_zarkov]

Задача обеспечить доступ к двум видеорегистраторам из внешки на один IP-адрес ХХ.ХХХ.ХХХ.246 но по разным портам 8080 и 8081, подойдет для этой цели функция Destination NAT ?

В первом приближении так:

Код: Выделить всё

 object-group network NET_UPLINK
   ip address ХХ.ХХХ.ХХХ.246
 exit
 object-group service SRV_HTTP1
    port-range 8080
 exit
  object-group service SRV_HTTP2
    port-range 8081
 exit

nat destination
  pool SERVER_IP1
    ip address 192.168.1.4
    ip port 80
  exit
  pool SERVER_IP2
    ip address 192.168.1.5
    ip port 80
  exit
  ruleset dnat
    from zone untrusted
    rule 1
      match protocol tcp
      match destination-address NET_UPLINK
      match destination-port SRV_HTTP1
      action destination-nat pool SERVER_IP1
      enable
    exit
    rule 2
      match protocol tcp
      match destination-address NET_UPLINK
      match destination-port SRV_HTTP2
      action destination-nat pool SERVER_IP2
      enable
    exit
  exit
exit


[vlakar]

Как лучше настроить туннель между ESR200 и NTE-RG-1402G-W: Rev.B через L2TP WAN Service или транспортных соединений IPSec,там протоколы разные на ESR200 L2TPv3 а на NTE L2TP или они совместимы ?

если можно, пример конфига пожалуйста.

[vlakar]

Задача обеспечить доступ к двум видеорегистраторам из внешки на один IP-адрес ХХ.ХХХ.ХХХ.246 но по разным портам 8080 и 8081, подойдет для этой цели функция Destination NAT ?

В первом приближении так:

Попробовал согласно Вашим рекомендациям но что то не идет
конфиг такой

Код: Выделить всё

********************************************
*            Welcome to ESR-200            *
********************************************

Welcome to ESR-200 on Thu Feb 22 02:47:42 GMT 2018

esr-200# show running-conf
ntp enable
ntp broadcast-client enable

syslog max-files 3
syslog file-size 512
syslog file esr info

username admin
  password encrypted $6$8ir7a5E9QGH4GyZf$28hrM5H7i4Aen2KC/ERg4JzUSpwZUyNPu8auZlnqEAWWUYf9UC37aaAzCsjZZXV6a9oGwvfIDR4nm1Me3l7Bw.
exit
username vlakar
  password encrypted Configuration has been successfully committed
esr-200# show running-config
ntp enable
ntp broadcast-client enable

syslog max-files 3
syslog file-size 512
syslog file esr info

username admin
  password encrypted $6$8ir7a5E9QGH4GyZf$28hrM5H7i4Aen2KC/ERg4JzUSpwZUyNPu8auZlnqEAWWUYf9UC37aaAzCsjZZXV6a9oGwvfIDR4nm1Me3l7Bw.
exit
username vlakar
  password encrypted $6$EIOS8p50kyFZw03t$yVT4ZdZ6t1Xzj8QMCj0Ar.o2mZN.A7VNUJ8Dp.0v4smrnia7CEAVU2fnxTQipivwlIb2Z89bqb6z5SpedMksr1
  privilege 15
exit

vlan 2
exit

security zone trusted
exit
security zone untrusted
exit
security zone UNTRUST
exit
security zone TRUST
exit

object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service SRV_CAM1
  port-range 8081
exit

object-group network clients
  ip address-range ХХХ.ХХХ.ХХХ.175
exit
object-group network gateway
  ip address-range ХХХ.ХХХ.ХХХ.246
exit
object-group network NET_UPLINKVIDEO
  ip address-range ХХХ.ХХХ.ХХХ.246
exit


bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  enable
exit
bridge 2
  vlan 2
  security-zone untrusted
  ip address dhcp
  enable
exit

interface gigabitethernet 1/0/1
  security-zone untrusted
  switchport forbidden default-vlan
  switchport access vlan 2
  ip address ХХХ.ХХХ.ХХХ.246/30
exit
interface gigabitethernet 1/0/2
  security-zone trusted
exit
interface gigabitethernet 1/0/3
  security-zone trusted
exit
interface gigabitethernet 1/0/4
  security-zone trusted
exit
interface gigabitethernet 1/0/5
  security-zone trusted
exit
interface gigabitethernet 1/0/6
  security-zone trusted
exit
interface gigabitethernet 1/0/7
  security-zone trusted
exit
interface gigabitethernet 1/0/8
  security-zone trusted
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port telnet
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port ntp
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match source-address clients
    match destination-address gateway
    match source-port any
    match destination-port ssh
    enable
  exit
exit

nat destination
  pool CAM_IP1
    ip address 192.168.1.6
    ip port 80
  exit
  ruleset DNAT
    from zone UNTRUST
    rule 110
      match protocol tcp
      match destination-address NET_UPLINKVIDEO
      match destination-port SRV_CAM1
      action destination-nat pool CAM_IP1
      enable
    exit
  exit
exit

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      match protocol any
      match source-address any
      match destination-address any
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool lan-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
exit

ip route 0.0.0.0/0 ХХХ.ХХХ.ХХХ.245

ip telnet server
ip ssh server

esr-200#



[leonid_zarkov]

Как лучше настроить туннель между ESR200 и NTE-RG-1402G-W: Rev.B через L2TP WAN Service или транспортных соединений IPSec,там протоколы разные на ESR200 L2TPv3 а на NTE L2TP или они совместимы ?
если можно, пример конфига пожалуйста.

На ESR-200 есть L2TP сервер с возможностью настройки шифрования IPSec.

[leonid_zarkov]

Попробовал согласно Вашим рекомендациям но что то не идет

У вас зона безопасности на аплинке untrusted, а DNAT настроен из UNTRUST.

Код: Выделить всё

interface gigabitethernet 1/0/1
  security-zone untrusted
  switchport forbidden default-vlan
  switchport access vlan 2
  ip address ХХХ.ХХХ.ХХХ.246/30
exit

nat destination
  pool CAM_IP1
    ip address 192.168.1.6
    ip port 80
  exit
  ruleset DNAT
    from zone UNTRUST
    rule 110
      match protocol tcp
      match destination-address NET_UPLINKVIDEO
      match destination-port SRV_CAM1
      action destination-nat pool CAM_IP1
      enable
    exit
  exit
exit



[vlakar]

У вас зона безопасности на аплинке untrusted, а DNAT настроен из UNTRUST.

Пытаюсь настроить зону

Код: Выделить всё

ScoolDanceUDI# configure
ScoolDanceUDI(config)# security zone-pair untrusted trusted
ScoolDanceUDI(config-zone-pair)# rule 1
ScoolDanceUDI(config-zone-pair-rule)# match source-address any
ScoolDanceUDI(config-zone-pair-rule)# match destination-address any
ScoolDanceUDI(config-zone-pair-rule)# match protocol tcp
ScoolDanceUDI(config-zone-pair-rule)# match source-port any
ScoolDanceUDI(config-zone-pair-rule)# match destination-nat
ScoolDanceUDI(config-zone-pair-rule)# action permit
ScoolDanceUDI(config-zone-pair-rule)# enable
error - please, set these parameters for rule 1 in zone pair 'untrusted trusted':
         'match [not] destination-port'
ScoolDanceUDI(config-zone-pair-rule)#


Получаю такую ошибку
error - please, set these parameters for rule 1 in zone pair 'untrusted trusted':
'match [not] destination-port'

Мне кажется вот здесь что то не так,

Код: Выделить всё

nat destination
  pool CAM_IP1
    ip address 192.168.1.6
    ip port 80
  exit


может он не понимает что надо отправить 192.168.1.6:80 ?

Но для начала обновлю прошивку до вер. 1.3.0, а то у меня 1.0.6 аж 2015 г.в
и я даже не заморачивался глянуть, ведь железку то покупали в декабре 2017.

[leonid_zarkov]

Пытаюсь настроить зону
Получаю такую ошибку
error - please, set these parameters for rule 1 in zone pair 'untrusted trusted':
'match [not] destination-port'

Вам необходимо дополнить настройку правила Firewall:

Код: Выделить всё

object-group service WEB
  port-range 80
exit

object-group network CAM_IP1
  ip address-range 192.168.1.6
exit

security zone-pair untrusted trusted
 rule 1
 match destination-port WEB
 match destination-address CAM_IP1
 exit
exit




Как минимум правило не полностью настроено:
error - please, set these parameters for rule 1 in zone pair 'untrusted trusted':
'match [not] destination-port'

Процесс обработки трафика в данной ситуации выглядит так:
----> DNAT -----> Firewall ---> Routing

Команда:
(config-zone-pair-rule)# match destination-nat
как раз говорит о том, что Firewall обработает трафик уже после отработки DNAT.
DNAT может состоять из многих правил и пулов, т.о. на выходе DNAT может оказаться много профилей трафика, поэтому в Firewall необходимо настроить фильтрацию по конкретному профилю.