zimbra y spamassessin: bajar los niveles de las puntuaciones

20 de abril de 2008

Zimbra trae una configuración por defecto en Spamassessin que puede o no ser la adecuada para cada empresa.
En mi caso, con el tiempo me di cuenta que no era así y tuve que comenzar a ir modificando parámetros cuando empezaron a detectarse correo validos como spam (fasos positivos). Imagínate si trabajas en un sexshop o en una farmacia; tendrías un montón de correos validos que los detectaría como spam y por tanto estarías obligado a modificar todos los parámetros de spamassessin para ajustarlos a tu política.

Para entendernos mejor empezaremos con un mail que ha sido analizado por Spamassessin. Cualquier mail que pase por Zimbra encontraremos en el cuerpo del mail algo como (el resto de headers no interesan ahora mismo):

   ...
   X-Spam-Flag: YES
   X-Spam-Score: 10.565
   X-Spam-Level: **********
   X-Spam-Status: Yes, score=10.565 tagged_above=-10 required=4
      tests=[BAYES_99=3.5, FH_HOST_ALMOST_IP=1.751, RCVD_IN_PBL=0.905,
      RCVD_IN_SORBS_DUL=0.877, RCVD_IN_XBL=2.033, URIBL_SBL=1.499]
   ...
Este mail a sido detectado como Spam porque a recibido una puntuación de 10.565. Dado que esta puntuación es mayor que required=4 se marca como spam. Los test que ha hecho spamassessin para detectar que esto es una spam son: BAYES_99, FH_HOST_ALMOST_IP, RCVD_IN_PBL, RCVD_IN_SORBS_DUL, RCVD_IN_XBL, URIBL_SBL. Cada uno de estos test está configurado para recibir una puntuación en caso de darse cierto el test.

En esta pagina podéis encontrar todos los tests, que hace cada uno de ello y la puntuación que recibe.

Volviendo a mi problema, si un correo es detectado como spam tenemos 4 posibilidades:

1. Ir al Webmail del usuario, entrar dentro de la carpeta Basura (Junk), seleccionar el correo detectado como basura y pulsar sobre el botón "No basura".
2. Modificar los parámetros generales para especificar la puntuación mínima para un spam.
3. Añadir al usuario a una lista blanca.
4. Modificar los scores para los diferentes test que hace el spamassessin.

La primera solución parece la más correcta porque le decimos a Zimbra que ese correo no lo detecte como spam, pero en mi caso no funciona porque el 99% de los usuarios acceden por Outlook y por tanto esta funcionalidad no la pueden usar.
Para la segunda opción si ejecutamos "./zmprov gacf" o entramos en la Web de administración de Zimbra, tendremos dos parámetros por los cuales se define cuando un correo es spam. Estos dos parámetros son:
   zimbraSpamKillPercent: 75
   zimbraSpamTagPercent: 20
El SpamTag define cuando un correo es considerado Spam y el otro cuando es considerado spam y por tanto debe eliminarse directamente (no aparece ni en la carpeta Basura del usuario).

En ejemplo anterior son necesarios 4 puntos para marcar el correo como spam. Este valor sale de:

   ZimbraSpamTagPercent * 20% = 20 * 0,2  = 4
Por el otro lado tenemos que 15 son los puntos necesarios para eliminar el correo: 
   ZimbraSpamKillPercent * 20% = 75 * 0,2 = 15
Por tanto cambiando el valor de estos dos parámetros (con el comando zmprov o desde la Web de administración) podemos cambiar el comportamiento del spam.

Para el tercer método, añadiremos al remitente a una lista blanca. En mi caso tuve muchos problemas con todos los mails que vienen de amadeus.net. Esta empresa es la que gestiona todas las reservas de billetes de avión, hoteles, barcos, etc, y por tanto todos los mails de confirmaciones de billetes iban al spam. Era necesario evitar esto. Para ello hay que meter este dominio dentro del archivo /opt/zimbra/conf/spamassessin/60_whitelist.cf

Hay que añadir al final del archivo algo como esto y reiniciar Zimbra (o reiniciar el Amavis):

   whitelist_from_rcvd *@*.amadeus.net   amadeus.net
Recomiendo echar un vistazo a todos los archivos de esta carpeta.

Para finalizar, la cuarta opción es modificar los scores directamente dependiendo de nuestras necesidades. Para ello necesitamos saber que scores cambiar y que es lo que hace ese test para recibir ese score. Si editamos /opt/zimbra/conf/spamassession/50_scores.cf podremos ver las diferentes puntuaciones asignadas a las tests.

Por ejemplo, dado la naturaleza de mis correos, muchos correos se envían por el asunto en mayúsculas o sin asunto y el spamassession le asigna un puntuación un poco alta. Entonces lo que podemos hacer es (por ejemplo) bajar un punto a las pruebas MISSING_SUBJECT y SUBJ_ALL_CAPS.

Ahora solo tendremos que reiniciar el Zimbra y hacer una prueba para ver como cambian las puntuaciones en el mail sin nuestras modificaciones y con las nueva modificaciones.


si quieres estos botones bajate miaddthis

por amperis a las 11:35 a. m. 1 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

41 horas encerrado

15 de abril de 2008

El otro día comentaba en el trabajo que pasaría si un fin de semana al migrar algún servidor nos quedamos encerrados en el montacargas... y sólo estamos nosotros en la empresa. Pues supongo que haríamos lo mismo que este tío que se quedo 41 horas encerrado en el ascensor.


si quieres estos botones bajate miaddthis

por amperis a las 11:23 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

parte 5: activación de dyndns

13 de abril de 2008

Todos los que tenemos un ISP que nos proporciona IP dinámica tenemos el mismo problema para acceder al router desde fuera, ¿cual es la IP asignada al router una vez levantada la interfaz?.
El software de IOS nos proporciona el mecanismo para registrar la IP asignada a un servicio de DNS. Este servicio lo tenemos que contratar (gratis) para que cada vez que obtengamos una IP dinámica se actualice nuestro DNS.

A partir de la IOS 12.2 Cisco proporciona Dynamic DNS que es implementación de como a través de llamadas HTTP actualizar la IP dinámica con el servicio de DNS.

Lo primero que tenemos que hacer es irnos a un servicio gratuito de DynDNS y darnos de alta. Simplemente necesitaremos a mano el nombre de usuario, la contraseña, el dominio seleccionado y la URL para la actualización de la IP.

Una vez tengamos estos datos ya podemos configurar el router:

(config)# ip domain lookup
(config)# ip name-server 194.179.1.100
(config)# ip name-server 194.179.1.101
(config)# ip ddns update method myddns
(DDNS-update-method)# http
(DDNS-HTTP)# add http://<usr>:<psw>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
(DDNS-HTTP)# remove http://<usr>:<psw>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
Nota: Para introducir el carácter especial "?" hay que pulsar Ctrl+v, soltar y luego escribir "?".

Los valores de "<usr>" y "<psw>" son los que hemos seleccionados en la pagina de registro del servicio.

Ahora solo queda aplicar esta configuración a la interfaz a la que quiero actualizar la dirección IP. En mi caso a la interfaz de ADSL:
(config)# interface dialer 0
(config-if)# ip ddns update hostname <mi dominio seleccionado>
(config-if)# ip ddns update myddns
# copy running-config startup-config
# reload
Donde "<mi dominio seleccionado>" es el dominio que he contratado con el servicio gratuito. Por ejemplo "mirouter.dyndns.org".

Para ver si todo esta funcionando correctamente podemos hacer desde nuestra maquina un "ping mirouter.dyndns.org" para ver si se traduce con la IP asignada a nuestro router. Si no es así podemos activar el debug de Dynamic DNS y ver que esta pasando:
(config)# debug ip ddns update
(config))# interface dialer 0
(config-if)# shutdown
(config-if)# no shutdown
Más configuraciones en no-ip.com.


si quieres estos botones bajate miaddthis

por amperis a las 5:42 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

parte 3: Configuración para acceso por VPN por IpSec

En esta parte configuraremos el router para dar acceso por VPN y acceder de forma segura a la Lan interna de nuestra red.
Existen diferentes formas de crear VPNs, y la que utilizaremos aquí será una VPN a través de los protocolos de Ipsec y una validación del clientes a través de Radius. En el caso de los cliente generaran la VPN a través del Cisco VPN Client.

Los pasos que debemos seguir son:

+ Preparación de IKE e Ipsec, donde decidiremos los algoritmos de cifrado y hash que queremos utilizar así como los parámetros TCP/IP que recibirán los clientes una vez conectados a la VPN.
+ Configuración de la primera fase de IKE. En nuestro caso utilizaremos cifrado 3DES y una autentificación de clave precompartida.
+ Configuración de la segunda fase de IKE (o configuración de IpSec). Para esta parte también utilizaremos 3DES para el cifrado, SHA para las funciones de Hash y Radius para la validación del cliente.
+ Por ultimo comprobaremos y verificaremos IKE para ver si funciona correctamente cuando los clientes empiecen a conectarse por VPN.

Comenzamos pues con la configuración de la primera fase de IKE:

(config)# crypto isakmp policy 1
(config-isakmp)# encr 3des
(config-isakmp)# authentication pre-share
(config-isakmp)# group 2
(config)# ip local pool vpnpool 192.168.2.1 192.168.2.255
(config)# crypto isakmp client configuration group thevpn
(config-isakmp-group)# key 1827hdyha2
(config-isakmp-group)# dns 212.73.32.3 212.73.32.67
(config-isakmp-group)# pool vpnpool
(config-isakmp-group)# max-users 3
(config-isakmp-group)# netmask 255.255.255.0
(config-isakmp-group)# acl 101
Configuramos la segunda fase de IKE o Ipsec:

(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
(config)#crypto dynamic-map dynmap1 1
(config-crypto-map)#set security-association idle-time 3600
(config-crypto-map)#set transform-set ESP-3DES-SHA
(config-crypto-map)#reverse-route
Utilizamos el Radius local que ya habíamos configurado para la Wireless:

(config)#aaa authorization network authovpn local
(config)#aaa authentication login authenvpn local
(config)#crypto map mymap client authentication list authenvpn
(config)#crypto map mymap isakmp authorization list authovpn
(config)#crypto map mymap client configuration address respond
(config)#crypto map mymap 65535 ipsec-isakmp dynamic dynmap1
Aplicamos el mapa de Ipsec a la interfaz de ADSL que es la que queremos que escuche las conexiones de VPN:

(config)#interface dialer 0
(config-if)#crypto map mymap
Configuramos las ACLs necesarias:

(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
(config)# access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(config)# access-list 102 permit ip 192.168.1.0 0.0.0.255 any
(config)# route-map myrm permit 1
(config-route-map)# match ip address 102
(config)# no ip nat inside source list 1 interface Dialer0 overload
(config)# ip nat source route-map myrm interface dialer 0 overload
Ahora ya podemos configurar nuestro cliente de VPN con la IP de la ADSL, el grupo y la password y probar si podemos conectarnos por VPN.
Podemos utilizar los comanndos "debug crypto isakmp" y "debug crypto ipsec" para ver que todo es correcto.
Una vez creada la VPN y que sabemos que todo funciona podemos modificar la configuración para validarnos por el Radius y no por local como hasta ahora. Para validarnos por Radius, utilizaremos el Radius local que ya habiamos configurado:

(config)# no aaa authentication login authenvpn local
(config)# aaa authentication login authenvpn group rad_eap


si quieres estos botones bajate miaddthis

por amperis a las 12:50 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

el primer juego para programadores de c++

31 de marzo de 2008

Lo puedes comprar en la misma pagina. Puede ser una manera educativa de aprender programación.


si quieres estos botones bajate miaddthis

por amperis a las 7:58 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

parte 2: configuración inalámbrica con validación por Radius

30 de marzo de 2008

En este paso configuraremos la interfaz de Wireless. Añadiremos autentificación del cliente por Radius y utilizamoreno el protocolo de autentificación LEAP propietario de Cisco. Como no tenemos un servidor de Radius dedicado a este proposito configuraremos un Radius local en el router.

+ Configuramos el radius local en el router.

(config)# aaa new-model
(config)# radius-server local
(config-radsrv)# nas 192.168.1.1 key 0 myradiuspsw
(config-radsrv)# user user1 password 0 1234567
(config-radsrv)# user user2 password 0 7654321
(config)# radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key 0 miradiuspsw
(config)# aaa authentication login eap_methods group rad_eap
(config)# aaa group server radius rad_eap
(config-sg-radius)# server 192.168.1.1  auth-port 1812 acct-port 1813
Este servidor de Radius nos podrá servir posteriormente para validarnos en el futuro por la VPN.
+ Configuraciíon basica de la interfaz de Wlan. 
(config)# interface dot11Radio 0
(config-if)# encryption vlan 1 mode wep mandatory
(config-if)# no dot11 extension aironet
(config-if)# ssid cisco857
(config-if-ssid)# vlan 1
(config-if-ssid)# authentication open eap eap_methods
(config-if-ssid)# authentication network-eap eap_methods
(config-if-ssid)# guest-mode
(config-if-ssid)# exit
+ Configuramos la sub-radio interface: 
(config)#interface dot11Radio 0.1
(config-subif)#encapsulation dot1Q 1
(config-subif)#bridge-group 1
+ Levantamos la interfaz de radio: 
(config)# interface dot11radio 0
(config-if)# no shutdown
Si hay algun problema para conectarse desde un cliente a la Wireless recomiendo salvar y reiniciar el Router.

Dado que LEAP es propietario de Cisco puede ser que cliente de Wireless de vuestra trajeta de red o simplente el cliente de Wireless de Windows XP/Vista no soporte Cisco LEAP (lo normal es que como minino acepte WPA). En ese caso habria de bajarse de Internet algun cliente de Wireless compatible con Cisco LEAP como por ejemplo el Odyssey Access Cliente.

Si no quisieramos utilizar LEAP podriamos configurar la interfaz de radio con WPA. 
(config)# interface dot11Radio 0
(config-if)# encryption vlan 1 mode ciphers tkip
(config-if)# no dot11 extension aironet
(config-if)# ssid cisco857
(config-if-ssid)# vlan 1
(config-if-ssid)# authentication open
(config-if-ssid)# authentication key-management wpa
(config-if-ssid)# guest-mode
(config-if-ssid)# wpa-psk ascii 12345678900987654321
(config-if-ssid)# exit


si quieres estos botones bajate miaddthis

por amperis a las 6:01 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

mi primer ordenador

20 de marzo de 2008

El otro día descubrí la pagina http://www.old-computers.com/ donde hay recopilado unos 1000 ordenadores antiguos. Busque mi primer ordenador, un Amstrad PCW 8256


Otra pagina similar: el museo de los 8 bits


si quieres estos botones bajate miaddthis

por amperis a las 5:20 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

parte 4: securizar

En esta parte vamos a dotar al router de las medidas de seguridad necesarias siguiendo unas pautas (checklist) ya establecidas. No hace falta que volvamos a inventar la rueda, las pautas ya esta establecidas y solo deben ajustarse a nuestra politica. Por Internet corren muchas checklist para securizar un router Cisco y no dejarte nada en el tintero. Dentro del semestro 2 del cursos CCNA de Cisco se explican todas las pautas necesarias antes de poner un router en producción.

Aquí teneis tres checklist para routers Cisco:

+ http://www.iso27001security.com/ISO27k_router_security_audit_checklist.rtf
+ http://www.cisco.com/warp/public/707/21.html#so
+ http://www.mavetju.org/networking/security.php

Por otro lado NSA (National Security Agency) tiene un repositorio de como deben cofigurarse diferentes productos a nivel de seguridad. Yo seguiré el "Router Configuration Guide" que se puede encontrar aqui (). Básicamente lo que consiste una checklist para securizar un router es: desactivar todos los servicios no necesarios dentro del router, proteger las lineas y consolas de configuración del router, plantearse las politicas y protocolos necesarios y reflejarlos con ACLs, controlar los accesos o errores que se produzcan y por ultimo estar al día de los bugs en las IOS. Además debe documentarse correctamente toda la configuración del router y pensar que esa configuración es viva y se tiene que ajunstar correctamente a las politicas que hemos establecido.

Pasamos pues a la configuración:
+ Desactivamos todos los servicios no necesarios: 

(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no ip bootp server
(config)# no ip http server
(config)# no snmp-sever
(config)# no service finger
(config)# no cdp run
(config)# no service config
(config)# no ip source-route
Posiblemente muchos de estos servicios ya estan desactivado por defecto dentro del router. Tambien hemos desactivado el Http Server. Hay técnicos que les gusta dejar el servicio levantado para poder configurarlo comodamente via Web. En ese caso habría que filtrar por ACL el acceso al servicio. Lo que seria más correcto (creo yo) sería levantar el servicio solo cuando fuera necesario y luego pararlo.

+ Protegemos las dos interfaces del router (la de la WAN y la de la LAN) de ciertos ataques. Tenemos que aplicar estos comandos a las dos interfaces:

(config)# interface Dialer 0
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp

(config)# interface bvi 1
(config-if)# no ip directed-broadcast
(config-if)# no ip mask-reply
(config-if)# no ip proxy-arp
+ Ahora securizamos la consola, la linea auxiliar y el vty. Para ello primero crearemos una ACL que corresponderá a la unica maquina del administrador del sistema que tiene acceso al router (@IP 192.168.1.134 por ejemplo).

(config)# access-list 1 permit host 192.168.1.134
(config)# aaa authentication login login_local local
(config)# line vty 0 4
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
(config-line)# transport input ssh
(config-line)# access-class 1 in

(config)# line aux 0
(config-line)# no exec
(config-line)# exec-timeout 0 5
(config-line)# transport input none

(config)# line con 0
(config-line)# exec-timeout 5 0
(config-line)# login authentication login_local
+ Ciframos todos las contraseñas que aparecen en la configuración. Si os fijais, las contraseñas de PAP y CHAP para la conexión de la ADSL no estan crifradas. Además añadimos que todas las contraseñas que pongamos, como minimo tendrán una longitud de 8 caracteres. 
(config)# service password-encryption
(config)# security passwords min-length 8
+ Añadimos un mensaje disuasorio antes de conectarnos:

(config)# banner motd '
********************************************
* Authorized access only!                  *
* Disconnect INMEDIATELY if you are not    *
* authorized user!                         *
********************************************
'
+ Configuramos el logging y del debugging para registrar los errores y los accesos que se puedan producir en el router. Para activar el logging necesitaremos un servidor de Syslog para montar en alguna maquina de la Lan (por ejemplo la 192.168.1.45).

(config)# logging on
(config)# logging 192.168.1.45
(config)# logging buffered 16000
(config)# logging console critical
(config)# logging trap informational
(config)# logging facility local1
Antes de poner en marcha el servicio de logging tenemos que asegurarnos que la fecha y hora del router son correctas para que a la hora de mirar los mensajes en el Syslog nos cuadren las cosas. + Configuramos el servicio de SNMP para por ejemplo realizar graficas de utilización de la linea ADSL con un MRTG. 
(config)# no snmp comunity public ro
(config)# no snmp comunity private rw
(config)# access-list 98 permit host 192.168.1.45
(config)# snmp community mi_comunidad_snmp ro 98
+ Bloqueamos con ACLs todo el trafico ilegal que venga desde Internet:

(config)# access-list 151 deny ip 192.168.0.0 0.0.0.255 any log
(config)# access-list 151 deny ip 127.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 10.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 0.0.0.0 0.255.255.255 any log
(config)# access-list 151 deny ip 172.16.0.0 0.15.255.255 any log
(config)# access-list 151 deny ip 192.168.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 192.0.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 169.254.0.0 0.0.255.255 any log
(config)# access-list 151 deny ip 224.0.0.0 15.255.255.255 any log
(config)# access-list 151 deny ip host 255.255.255.255 any log
(config)# access-list 151 deny ip host 213.97.224.9 host 213.97.224.9 log
(config)# access-list 151 deny ip host 68.178.232.100 any log
(config)# access-list 151 deny ip host 194.179.39.19 any log
(config)# access-list 151 deny icmp any any echo log
(config)# access-list 151 deny icmp any any redirect log
(config)# access-list 151 deny icmp any any mask-request log
(config)# access-list 151 permit ip any any
(config)# interface Dialer 0
(config-if)# ip access-group 151 in


si quieres estos botones bajate miaddthis

por amperis a las 5:01 p. m. 0 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

parte 1: Configuración básica ADSL con IP dinámica

16 de marzo de 2008

En esta parte configuraremos la interfaz WAN y la LAN desde cero, y dejaremos el router listo para poder navegar desde la LAN interna. Como requisitos necesitaremos tener listo los datos de conexión ADSL del proveedor.

+ Nos conectamos a la consola del router y vemos que arranca correctamente. Intentamos ver que el firmware se descomprimime bien, que arranca y miramos si hay algun tipo de configuración ya hecha.
+ Borramos la configuración que pueda tener el router pulsado sobre reset (botón de la parte trasera) y sin soltar, encendemos el router.
+ Después de botar nos dirá que no hay ningun tipo de configuración y que solo hay un usuario cisco/cisco creardo para comenzar a configurar.
+ Entramos como cisco/cisco y miramos las características del router. Primero hacemos un "show run" para ver la configuración de fábrica y luego un "show version" para ver el IOS que tiene el router y la memoria flash/ram que disponemos. Con el primer comando ya vemos que nos ha puesto en la LAN del router la 10.10.10.1 y que esta activado el DHCP. Con el segundo comando vemos que tenemos la versión 12.4 del IOS.
+ Configuramos un usuario administrador con privilegios máximos, el hostname y la fecha:

# conf term
(config)# hostname cisco857
(config)# # username admin privilege 15 secret 0 123456
(config)# # no username cisco
(config)# # no banner login
# exit
# clock set 22:45:00 March 14 2008
# copy run start
# reload
+ Es hora de configurar la interfaz interna, la LAN. Dado tendremos dos interfaces (una ethernet y otra inlambrica) que estaran dentro de la red interna, crearemos una interfaz virtual con la IP (por ejemplo) 192.168.1.1 (IP interna de nuestro router) para que estas dos interfaces "comparta" las propiedades de esta interfaz virtual.

# conf term
(config)# bridge irb
(config)# interface vlan 1
(config-if)# no ip address
(config-if)# bridge-group 1
(config-if)# ip nat inside
(config)# interface BVI 1
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# ip nat inside
(config-if)# ip virtual-reassembly
(config)# bridge 1 route ip
# copy run start
# reload
+ El siguiente paso es configurar nuestro PC con una IP del rango 192.168.1.0/24 y conectarlo al router por la ethernet. Una vez conectado al router podemos abrir una ventana de DOS y hacer un "ping 192.168.1.1" para ver si ya llegamos al router. Si no llegamos es que nos hemos dejado algo.
+ El proximo paso ya es configurar la interfaz Wan de la ADSL. Para ello necesitaremos a mano los datos de conexión de nuestro proveedor. En mi caso Ya.com. Necesitaremos crear un dialer con los datos de la ADSL y añadir a la interfaz de ATM este dialer.
# conf term
(config)# interface Dialer0
(config-if)# ip address negotiated
(config-if)# ip nat outside
(config-if)# ip virtual-reassembly
(config-if)# encapsulation ppp
(config-if)# dialer pool 1
(config-if)# dialer-group 1
(config-if)# no cdp enable
(config-if)# ppp authentication chap pap callin
(config-if)# ppp chap hostname ad99999999@yacomadsl
(config-if)# ppp chap password 0 12345678
(config-if)# ppp pap sent-username ad99999999@yacomadsl password 0 12345678
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0
(config)# access-list 1 permit 192.168.1.0 0.0.0.255
(config)# ip nat inside source list 1 interface Dialer0 overload
(config)# dialer-list 1 protocol ip permit
(config)# interface ATM0.1 point-to-point
(config-subif)# pvc 8/32
(config-if-atm-vc)# encapsulation aal5mux ppp dialer
(config-if-atm-vc)# dialer pool-member 1
(config)# interface atm 0
(config-ig)# no shutdown
# copy run start
# reload
Probamos desde el router hacer un "ping 194.179.1.100" para ver si salimos a Internet. Si no conseguimos respuesta miramos son un "show interfaces" si las interfaces de ATM se han levantado y con un "debug ppp authentication" si no validamos bien con el proveedor.
+ Por ultimo solo nos queda configurar el DHCP. Para ello configuraremo el DHCP en el rango 192.168.1.11 al 192.168.1.254. Nos guardaremos 10 direcciones IP estaticas.
(config)# no ip dhcp excluded-address 10.10.10.1
(config)# no no ip dhcp pool sdm-pool
(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
(config)# ip dhcp pool midhdcp
(dhcp-config)# import all
(dhcp-config)# network 192.168.1.0 255.255.255.0
(dhcp-config)# default-router 192.168.1.1
(dhcp-config)# dns-server 194.179.1.100 194.179.1.101
(dhcp-config)# lease infinite


si quieres estos botones bajate miaddthis

por amperis a las 5:57 p. m. 9 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:

configuración Cisco 857W

El 857W es uno de los router más grandes de la serie 850 con soporte para ADSL, Wireless b/g y cuatro puertos fast-ethernet diseñado sobre todo para teletrabajo. En este post y sucesivos explicaré como ponerlo a punto desde cero para comenzar a trabajar. Precio aproximado del router, menos de 300€.

Como prerequisito necesitamos conectar el router por consola (con el famoso cablecito azul). Aunque con el router viene un CD con el Cisco SDM para poder configurarlo via Web/Java, yo lo configuraré desde cero por linea de comandos. Con la linea de comandos podremos afinar al maximo la configuración. Posteriormete quitaremos el cable de consola y continuaremos configurandolo por SSH.

Los pasos que seguiremos serán:

+ Parte 1: Configuración Basica ADSL con IP dinámica
+ Parte 2: Configuración inalámbrica con validación por Radius
+ Parte 3: Configuración para acceso por VPN por IpSec
+ Parte 4: Securizar
+ Parte 5: activación de dyndns

Más ejemplos de configuraciones aquí.


si quieres estos botones bajate miaddthis

por amperis a las 5:42 p. m. 2 comentarios enviar por correo suscribirse url ver reacciones

Etiquetas:


suscribirse al feed