Archive for June, 2009

Facut upgrade la freeradius-server-2.1.6 (care binevoieste si sa aiba default optiuni de genul –with-openssl).

Pus patch pentru suport de EAP-AKA (Authentication and Key Agreement) – folosit pentru auth pe UMTS, pe langa EAP-SIM, deja suportat.

Apoi bagat tare trafic de EAP in NetScreen…Cine spunea ca are nevoie de Cisco…ACS? >:)

si Patch-ul: (multam, vampi)

– la cerere, ca tot e listat in seed intreg 😦

Advertisements

kinderi haiosi

Posted: June 25, 2009 in personal, promote
Tags:

Nu obisnuiesc sa-mi spamez oamenii din lista cu link-uri catre poze cu kinderi, pe care sa-i voteze si nici cu alte chestii funny/sau mai putin funny. Dar zilele astea tot duc o campanie de promovare a Sabinutzei.

Sabinutza e un kinder haios…iar oamenii rai de la mine din lista nu o voteaza, de aceea am stabilit sa apelez la ajutorul natiunii de bloggeri.

Citat din conversatia cu un prieten:

BE: Nu o votez

Eu: De ce? Voteaz-o!

BE: Nu pot. Fata ei imi aminteste de shefu’ meu

Eu: :-l:-l

BE: “Ce faci? Iar stai? /:)”

Eu zic ca e unul din cei mai scumpi kinderi pe care i-am vazut; si sper sa am si eu un kinder asa dragalash…la un moment dat 😛

Avem nevoie de voturi pana pe 30 iunie, astfel incat sa ramana pe primul loc in top.

sabinutza

Linkul e acesta: http://www.helpnet.ro/?mid=53&vot=10&kinderID=277

iar e furtuna

Posted: June 24, 2009 in personal
Tags:

A inceput nebunia afara. Big time!

Iar de la etajul 9 ma bucur de toata splendoarea ei…mai ales ca au fost uitate niste geamuri deschise si s-au imprastiat diverse lucruri prin toate salile de sedinta.

Intrebarea numarul 2: cum naiba ajung eu acasa 😕

PS: geamul de langa mine nu se inchide bine; iar vuietul vantului, spicurile de ploaie mari ce lovesc geamul cu putere si scripturile mele de Juniper nu se prea impaca 😕

apel la ajutorul natiunii

Posted: June 23, 2009 in technical
Tags: ,

Nu pricep/gasesc/nu stiu unde sa caut/nu stiu sa caut pe google…sau in RTFRFC/freeradius.org si nici timp nu prea am de “studiu”…

Am un freeradius cu EAP-TLS (2.0.4), iar in eap.conf fac matching pe CN-ul de la CA si de la certificatele clientilor, asa:

check_cert_issuer =”/CN=VPN-CA”

check_cert_cn = %{peer}

Problema este ca, desi pe Issuer face match ok, eu nu stiu sa-l fac sa matchuiasca ok si CN-ul userilor, therefore, acum “merge” pentru ca i-am comentat linia de check_cert_cn.

Certificatele de la clientii mei au in CN ceva de genul: peer1, peer2…peer 1000. Oamenii de la freeradius zic: “If check_cert_cn is set, the value will be xlat’ed and checked against the CN in the client certificate.  If the values do not match, the certificate verification will fail rejecting the user.” Cum ar trebui sa pun expresia asta, a.i. sa imi matchuiasca toti userii/fiecare  user?

Descarcat si compilat cu suport de sim si openssl, ca poate imi da prin cap ca vreau si tls 😛

Si … primul meu user:

vpn1  Auth-Type := EAP, EAP-Type := SIM
EAP-Sim-RAND1 = 0x101112131415161718191a1b1c1d1e1f,
EAP-Sim-SRES1 = 0xd1d2d3d4,
EAP-Sim-RAND2 = 0x202122232425262728292a2b2c2d2e2f,
EAP-Sim-SRES2 = 0xe1e2e3e4,
EAP-Sim-RAND3 = 0x303132333435363738393a3b3c3d3e3f,
EAP-Sim-SRES3 = 0xf1f2f3f4,
EAP-Sim-KC1 = 0xa0a1a2a3a4a5a6a7,
EAP-Sim-KC2 = 0xb0b1b2b3b4b5b6b7,
EAP-Sim-KC3 = 0xc0c1c2c3c4c5c6c7,

Acum sa vedem ce fac cu AKA-ul…nesuportat de oamenii de la freeradius, dar cu patch-uri diverse facute de binevoitorii de pretutindeni 😛 😛

Ah, btw: pe NetScreen 5200:

set auth-server “VPN-Debian” id 1
set auth-server “VPN-Debian” server-name “10.205.17.70”
set auth-server “VPN-Debian” account-type eap-ikev2
set auth-server “VPN-Debian” radius port 1812
set auth-server “VPN-Debian” radius secret “bm5dVOi8N1UDuRsb8lCRiN78zqnocRdkJA==”
set auth-server “VPN-Debian” radius compatibility rfc-2138

si un gateway mititel:

set ike gateway ikev2 “24s2seap1” address 8.0.0.1 local-id “170.2.0.1” outgoing-interface “ethernet2/2” proposal “rsa-g2-3des-md5-360”
set ike gateway ikev2 “24s2seap1” cert my-cert-hash BC1D04E0E20D4D05F776E30C34830ED9844DC79C
set ike gateway ikev2 “24s2seap1” cert peer-ca-hash 7B236EFB192B6B5360CA7ECDE252191495E9A36B
set ike respond-bad-spi 1

facts for today

Posted: June 17, 2009 in thoughts
Tags: ,

1. Am “reparat” ipsec-ul, therefore, I am quite happy – saru’mana lui monsieur, si-a luat o bila alba;

2. Fost la sala, alerga juma’ de ora => tonus bun, in sfarsit: 50 kg;

2′. Am auzit si eu pe un barbat sa spuna dezamagit dupa ce a vazut-o de aproape (nush cat de machiata era) ca Eva Kent e “urata rau, frate; baga-mi-as picioarele”; nu, tipul nu e gay, si arata al naibii de bine (imho si nu numai);

2”. Lui Alex Ceobanu ii place Jung si de acum va fi mai atent la operatorii care folosesc Linux 😛  ;

3. M-am saturat sa trag si sa ma rog de oameni sa faca diverse chestii – de obicei bune pentru ei; Imi plac oamenii pasionati, care isi fac treaba bine si fara sa ii tragi de maneca non-stop; mi-e sila sa fac asta; note to myself: never become a manager.

dupa lupte seculare… Cisco

Posted: June 17, 2009 in technical
Tags:

…care au durat 2 zile, am schimbat string-ul numelui de authentication group, pe 6500-le meu cu VPN SPA si…mergeee! iuhuuu :d/

Morala este: configele pe VPN SPA se fac cu profile, altfel mai bine te apuci de gatit, ca la Cisco fiecare config se face in functie de platforma, chit ca in esenta faci acelasi lucru.

Ce-am mai “descoperit” incercand sa-mi pun si eu, ca omul, vreo 5000 de ip-uri in pool-ul de remote access, este ca (cel putin pe imaginea mea) nu pot pune mai mult de 3810 ip-uri in pool, Ciscanul tipand ca din gura de sarpe ca range-ul meu e prost:

231-6500IPSec(config)#ip local pool test 172.16.0.1 172.16.10.254

231-6500IPSec(config)#no ip local pool test 172.16.0.1 172.16.10.254

231-6500IPSec(config)#ip local pool test 172.16.0.1 172.16.20.254

%Bad IP range, 172.16.0.1-172.16.20.254

Si alta chestie faina e ca accepta sa-i dau in pool-ul de remote access adrese de tip network address si le mai si trimite host-ului de RA. Ce mare lucru? Nu poate si VPN-Clientul meu sa aiba IP-ul 91.91.0.0 /16?  😛
231-6500IPSec(config)#ip local pool test2 91.91.0.0 91.91.0.0
231-6500IPSec(config)#
——————————
username cisco password 0 cisco

username cisco password 0 cisco

!

aaa new-model

aaa authentication login default local
aaa authentication login ra_xauth local
aaa authentication ppp default local
aaa authentication eou default group radius
aaa authorization network ragroup local
aaa accounting network default start-stop group radius
!
crypto pki trustpoint VPN
enrollment retry period 5
enrollment mode ra
usage ike
serial-number
subject-name CN=231-6500IPSec
revocation-check none
rsakeypair ra_key
auto-enroll regenerate
!
crypto pki certificate map cert_map 10
subject-name co cn = peer
!
crypto isakmp policy 4
encr 3des
hash md5
group 2
lifetime 46800
!
crypto isakmp key ra_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 60 30
crypto isakmp client configuration address-pool local ra_ipsecpool
!
crypto isakmp client configuration group ragroup_test
key ra_key
pool ra_ipsecpool
max-users 5000
netmask 255.255.0.0
!
crypto isakmp profile test
keyring default
ca trust-point VPN
match certificate cert_map
client authentication list ra_xauth
client configuration address respond
client configuration group ragroup_test
!
crypto ipsec security-association lifetime seconds 43200
!
crypto ipsec transform-set general_transform esp-3des esp-md5-hmac
!
crypto dynamic-map ra_dynamic_map 10
set transform-set general_transform
!
!
crypto map general_map client authentication list ra_xauth
crypto map general_map isakmp authorization list ragroup
crypto map general_map client configuration address respond
crypto map general_map 30 ipsec-isakmp dynamic ra_dynamic_map
!
interface GigabitEthernet3/3
switchport
switchport access vlan 111
switchport mode access
!
interface GigabitEthernet3/4
ip address 61.211.0.1 255.255.0.0
!
interface GigabitEthernet8/1/1
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,110,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface GigabitEthernet8/1/2
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,111,1002-1005
switchport mode trunk
mtu 9216
flowcontrol receive on
flowcontrol send off
spanning-tree portfast trunk
!
interface Vlan110
ip address 170.2.0.6 255.255.255.0
no mop enabled
crypto map general_map
crypto engine slot 8/1
!
interface Vlan111
no ip address
crypto connect vlan 110
!
ip local pool ra_ipsecpool 94.94.0.0 94.94.0.254

Asa am scapat de eroarea nenorocita de la modecfg:

00:50:10: AAA/AUTHOR/IKMP/LOCAL: group does not exist

%CRYPTO-6-VPN_TUNNEL_STATUS: Group: does not exist

Singura problema e ca in felul asta, un singur tunel se face intr-un minut jumate!!!??. Ce sa mai cer la 3000 de tunele cu certificate de 1024? ….. 😦 😦 😦

going home – ipsec depreshun

Posted: June 16, 2009 in personal
Tags: ,

Nu merge ipsec-ul. Nu merge si pace. Nu stiu ce sa-i mai fac sa mearga. Cred ca daca e dupa mine, i-as impusca pe toti desteptii de la Cisco, pentru nu sunt in stare sa implementeze un standard.

Nu conteaza.

E vara, e cald, e frumos afara. Eu stau la birou si ma chinui sa fac un XAuth. Si, daca nu as fi la birou, as fi acasa, invatand pentru bsci. Si tot asa.

Vreau in parc.

Cred ca voi merge in parc.

Singura.

M-am saturat.

Mi-e sila si mi-a ajuns. De toti si de toate. Vreau sa ma bucur de vara, sa merg in parc, sa merg la mare, sa ma plimb. Nu sa stau singura acasa sau la job, pe vremea asta minunata, tocmai buna de plimbat si jucat.

Version:1.0 StartHTML:0000000105 EndHTML:0000001888 StartFragment:0000000127 EndFragment:0000001868 Cisco Internetwork Operating System Software
IOS ™ s72033_sp Software (s72033_sp-SPV-M), Version 12.2(17a)SX1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Wed 29-Oct-03 08:33 by cmong
Image text-base: 0x40020FBC, data-base: 0x40D32000

Unknown Feature Card (206)
Cannot continue… disabling autoboot and resetting
%Software-forced reload

Unexpected exception, CPU signal 23, PC = 0x4013DD7C

-Traceback= 4013DD7C 4013BC44 4069E094 404F4FFC 404F50F8 40136EA0 40136F44 4005A29C 4005A568 40112D88 40112D74
$0 : 00000000, AT : 436D0000, v0 : 43A80000, v1 : 40D60000
a0 : 43A4F3B4, a1 : 0000F100, a2 : 00000000, a3 : 40D30000
t0 : 0000FD00, t1 : 3400FD01, t2 : 40142708, t3 : FFFF00FF
t4 : 40142708, t5 : 000006FF, t6 : FFFFFFFF, t7 : 43B90000
s0 : 00000000, s1 : 00000000, s2 : 40D50000, s3 : 409D0000
s4 : 43A80000, s5 : 43A50000, s6 : 00000000, s7 : 43A50000
t8 : 44844E0C, t9 : 00000000, k0 : 30409001, k1 : 30410000
gp : 436D99A0, sp : 5001AAA0, s8 : 43A80000, ra : 4013BC44
EPC : 4013DD7C, ErrorEPC : FF9FFFFF, SREG : 3400FD03
MDLO : 00000000, MDHI : 00000002, BadVaddr : 00000000
Cause 00000024 (Code 0x9): Breakpoint exception

=== Flushing messages (17:18:25 UTC Tue Jun 16 2009) ===

Microsoft sucky

Posted: June 15, 2009 in technical
Tags: ,

Cu manualul in fata, deployment-ul de Office Communicator 2007 se face by default cu alte optiuni decat cele default setate in tool-ul de Deployment.

In plus, nicaieri in manual nu-ti spune ca vei genera si incerca sa incarci ca un mare magar certificate de CA si de Server, daca nu dai un restart la serviciu, cat timp esti in mijlocul deploymentului. Dupa ce mi s-a blocat a tzshpea incercare de a uploada un CSR pe CA-ul meu, am omorat procesul de Communicator. La repornirea lui si a tool-ului de deployment, ce sa vezi!? CSR-urile mele listate frumushel pe primul tab. Am submis cererea si mi-am instalat certificatul.

Sa dai restart la serviciul pe care faci deployment, in timp ce tu esti la mijlocul wizard-ului de deployment pentru _acel_ serviciu cred ca era o chestie mult prea grozava chiar si pentru Restart-At-Every-Step-Microsoft bullshit pentru a o mai scrie undeva, ORIUNDE, in documentatie.