Pix da failover a "semplice"....

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Mi hanno regalato un pix 515 che era un "secondary" di un sistema failover.
ci sono entrato solo che non c'è verso di farlo andare in rete.Suppongo che ciò sia dovuto al fatto che se non "sente" il primary cadere,non manda su le interfacce.
Che debbo fare per trasformarlo in un pix liscio,senza failover...calcolando che ho un account per scaricare le "IOS"

P.S. mi servirebbe la 6.3 per ricreare in lab una situazione che dovrò affrontare fra un pò.....per sul sito Cisco non ve ne è traccia??

Grazie.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Su un 515 a meno che nn abbi ancora 64 Mb di RAM mettici la IOS 8 non 6!
Cmq la 6.3.5 su cisco.com la si scarica ancora!
Se hai accesso alla config del pix basta che dai il comando "no failover" oppure cancelli tutto e rifai tutto e fai prima...
Attento ad una cosa però: che licenza ha quel pix? Se prima aveva il compito di secondary può essere che x risparmiare abbiamo comprato la licenza sl essere secondary e se nn vede il primario si riavvia ogni 24 ore...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Wizard ha scritto:....essere secondary e se nn vede il primario si riavvia ogni 24 ore...
Azz. e come posso fare per evitarlo....cioè le licenze dei pix come sono vendute...c'è qualche link che le spieghi?

Mi serve la 6.3.3 e la 6.3.4 per nricreare un Lab su cui fare delle prove per un grosso casino che dorò andare ad affrontare....poi metteroò su la 8 visto che 128Mb di ram.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Guarda, dai il comando "sh tech", alla fine (c'è una bella sbrodolata) se ha la licenza di solo standby ti viene scritto tra 2 righe asteriscate
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

non vedo nessuna riga asterischata...però da sh ver leggo This PIX has a Failover Only (FO) license .....ummm devo informarmi che smarnet ci vuole e se si può aggiornarlo...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Pare che è un casino e costa un casino....quasi conviene pigliare un asa 5510...per ora da cisco.com ho scaricato la key x il 3DES(che mi serve per ricreare l'ambiente di produzione).
Cmq il pix neanche pinga...in pratica non va in rete ed ho il forte dubbio che dipenda dalla licenza failover(o no??).
Per aggiornarlo dovrei scaricarmi le IOS (già fatto) e poi ottenere una key (a pagamento?)per le feature set giusto?
Ma da quello che vedo non è possibile ottenere una key per la 6.3.4(neanche per la 6.3.5 che è quella che ho sul pix in dotazione al LAB).
Quindi dovrei :
1) mettere su la key per il 3DES(per ritrovarmelo anche in caso di downgrade)
2) fare l'upgrade a una versione dii PIX OS per cui è possibile acquistare una key
3) mettere su la key x il featur set che mi serve
4) fare il downgrade alla versione di PIX OS che mi occorre(6.3.4)

Tutto ciò senza avere la certezza che poi il tutto funzionerà...... :roll:
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Sinceramente nn sn molto esperto di licenze...
Di sicuro se tutto questo è solo x test nn so se ne vale la pena...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

già...son pienamente d'accordo....però tenere li un pix carrozzato con 16mb flash e 128mb ram a pigliar polvere....proprio mi dispiace......
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Hai ragione anche tu...
Cmq, se ha la licenza di solo standby e nn vede il fw active (è quindi solo) deve cmq andare solo che ogni 24 ore si rivvia...

hai già fatto un bel "wr erase" e messo su una config minima di test?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Si,l'ho fatto ma nisba,la cosa che mi fa pensare che sia "bloccato" è che ,cmq, vede i mac address degli host che provo a pingare.....
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Scusa mi fai vedere uno "sh run" e "sh ver" del firewall "vergine"?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Codice: Seleziona tutto

PIX Version 6.3(5)
interface ethernet0 auto shutdown
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl_icmp permit icmp any any 
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address outside
ip address inside 192.168.1.57 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
access-group acl_icmp in interface outside
access-group acl_icmp in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Codice: Seleziona tutto

Cisco PIX Firewall Version 6.3(5)

Compiled on Thu 04-Aug-05 21:40 by morlee

pixfirewall up 1 hour 19 mins

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: ethernet0: address is 0018.ba64.bcb2, irq 10
1: ethernet1: address is 0018.ba64.bcb3, irq 11
Licensed Features:
Failover:                    Enabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Disabled
Maximum Physical Interfaces: 6
Maximum Interfaces:          10
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited

This PIX has a Failover Only (FO) license.

Serial Number: 810321098 (0x304c84ca)
Running Activation Key: 0x4723d99d 0xe2e08e56 0xb4f1c77a 0xb162cfc6 
Configuration last modified by enable_15 at 03:06:10.110 UTC Wed Jan 21 2009
192.168.1.57 ip pix
192.168.1.21 ip notebook
192.168.1.1 ip gateway della mia rete

Codice: Seleziona tutto

pixfirewall(config)# ping 192.168.1.21
        192.168.1.21 NO response received -- 1000ms
        192.168.1.21 NO response received -- 1000ms
        192.168.1.21 NO response received -- 1000ms
pixfirewall(config)# sh arp
        inside 192.168.1.21 0011.2587.f3e4

Codice: Seleziona tutto

From 192.168.1.21 icmp_seq=45 Destination Host Unreachable

--- 192.168.1.57 ping statistics ---
48 packets transmitted, 0 received, +45 errors, 100% packet loss, time 47150ms, pipe 3
zot@zotnbk:~$ arp
Address                  HWtype  HWaddress           Flags Mask            Iface
NASBOX.local             ether   00:1D:73:19:DC:AC   C                     eth0
192.168.1.57                     (incompleto)                                         eth0
192.168.1.1              ether   00:17:E0:72:CF:F4   C                         eth0

Vedi un pò tu ...ho solo dato l IP alla inside e messo quella ACL per il ping..
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Era capitata una cosa così anche a me, nn andava il ping ma si vedeva l arp.
Il ping da un client verso il pix andava solo se passavi da uno switch l3 (...).
Soluzione: ricaricare la ios 6.3.5
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Ancora qui a sbatterci le corna.........ho ricaricato la IOS ma niente da fare da uno sh tech noto che la sezione failover mi riporta:

Codice: Seleziona tutto

------------------ show failover ------------------                             
                                                                                
Failover Off                                                                    
Cable status: My side not connected                                             
Reconnect timeout 0:00:00                                                       
Poll frequency 15 seconds
Preciso che il pix ha una seriale a cui era conesso il PIX primary....A questo punto anche dando una letta in giro su internet ..per i pix in failover su seriale mi sa che nun c'è speranza anche se a me pare strano...molto strano.
Cioè se io avevo i due pix in produzione e mi muore il primary e non ho i soldi per ricomprarlo...che fa va giù la baracca???
C'è quel Cable status: My side not connected che mi insospettisce...devo procurarmi il suo cavo seriale......
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Cioè se io avevo i due pix in produzione e mi muore il primary e non ho i soldi per ricomprarlo...che fa va giù la baracca???
Sulla ios 6 sinceramente nn ho mai visto questa sitiuazione ma sulla 7\8 succede "semplicemente" che ogni 24 ore il fw si riavvia se nn vede il primary però x il resto funziona senza problemi...
Questo sia con il serial che con il lan failover
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Rispondi