Как посмотреть логи, падал ли линк и когда

less /var/log/messages  | grep eth0

Прядок прохождения пакетов

Как посмотреть  таблицу мак  адресов
создаем мост
brctl addbr 1
добавляем туда интерфеqс eth0
brctl addif 1 eth0
cмотрим
brctl showmacs 1
удаляем 
brctl delbr 1
brctl addbr 1
brctl addif 1 eth0
brctl showmacs 1
brctl delbr 1

Сменить mac на sterra

4.2
ifconfig <iface> hw ether XX:XX:XX:XX:XX:XX
4.3
ip link set dev <your device here> down
ip link set dev <your device here> address <your new mac address>
 ip link set dev <your device here> up

Правим порты шифрования в LSP config

lsp_mgr showinfo – для просмотра информации о текущей конфигурации lsp_mgr load – для загрузки конфигурации из файла в базу Продукта lsp_mgr unload – для загрузки политики Default Driver Policy lsp_mgr reload – для перезагрузки LSP конфигурации (https://doc.sterra.ru/rh_output/4.2/Gate/output/mergedProjects/Util/lsp_mgr_check.htm) – для проверки LSP конфигурации. смотрим текущй lsp_mgr show  создаем из текущего конфига файл где в секции IKEParameters добавляем порты  IKEParameters(     LocalPort = 30500     NATTLocalPort = 34500     RemotePort = 30500     NATTRemotePort = 34500     FragmentSize = 0 ) Проверяем конфиг    lsp_mgr check f LSP_conf_NEW.txt  грузим конфиг       lsp_mgr load f NEW_LSP.txt проверяем lsp_mgr showinfo, lsp_mgr show

NOTE

После загрузки отредактированной конфигурации командой lsp_mgr  load, внесенные изменения будут присутствовать только в nativeконфигурации (LSP), в ciscolike конфигурации этих изменений не будет. При следующей конвертации ciscolike конфигурации внесенные изменения в nativeконфигурации исчезнут. Предыдущая измененная конфигурация будет сохранена в файле non_cscons.lsp.

Смотрим серийный номер платформы
midecode t 1 | grep Serial

Видео траблшутинг

Видео траблшутинг

Перегружен ли шлюз

NOTE

kstat_show  Если суммарное количество пакетов по следующим счетчикам: tx errors route errors skb allocation errors send queue overflows high priority packets dropped low priority packets dropped high priority packets passed while overloaded превышает 1% от суммы пакетов по следующим счетчикам: ipsec in pkt ipsec in oct то Шлюз считается перегруженным.

Добавляем правило в ACL на первую строчку

1 permit ip host 92.253.219.109 any

Узнать версию CPU

cat /proc/cpuinfo
lscpu 

Фильтруем вывод логов

 cat /var/log/cspvpngate.log | grep 'Apr  1' | grep closed

Загрузка интрефейса 

iftop n i eth0 (смотрим rate)
vnstat l i eth0

Перезапустить сервисы vpn

service vpngate restart
Определение загруженности подсистемы шифрования

NOTE

Для просмотра счетчиков IPsec драйвера можно воспользоваться утилитой kstat_show.
Если значение хоть одного из перечисленных счетчиков ‘skb allocation errors’, ‘send queue overflows’, ‘high priority packets dropped’, ‘low priority packets dropped’ в выводе утилиты kstat_show увеличивается, то это свидетельствует о перегруженности подсистемы шифрования СТерра Шлюз

Не править файл  /etc/ifaliases.cf 

без доступа по консоли, можно потерять доступ полностью  

Узнать версию платформы 

NOTE

Вводим команду 

dmidecode | grep A3 ‘^System Information’

затем гуглим по 

Product Name: 

Например 

NCA1010AST это 100

https://www.sterra.ru/company/news/novyemodelishlyuzovsterranaaplanner/

NCA5210CST это  G7000 

https://store.softline.ru/sterra/g700042174788redstkc1174057/

LACP Sterra

Bonding (port channel) интерфейсы

Где лежат наcтройки SNMP  И скрипт проверки сертификатов

/etc/snmp/snmpd.conf

Перезапустить службу

service  snmpd restart

или 

/etc/init.d/snmpd restart

Сразу в en cscons

su cscons

Из консоли в root

sys

Посмотреть конфиг из root

csconf_mgr show 

PIng c LInux с таймингом

ping 87.226.166.119 | while read pong; do echo "$(date): $pong"; done

Преход в cisco like из рута

Логин – cscons
Пароль – csp 
cs_console
en
csp

Cбросить все туннели из линукса

sa_mgr  clear all

Ошибка запуска СА

Меняем ключ реестра

Проверка туннелей 

cisco like

show crypto isakmp sa 

из консоли

sa_mgr show 

CGW CLI

run sa_mgr show 

Пересчитать контрольные суммы файла ifaliases.cf

integr_mgr calc f /etc/ifaliases.cf

Посмотреть агрегированный линк

ip address show | grep bond0

Посмотреть все интерфейсы 

ip a

Посмотреть состояние  линка (интерфейса)

ethtool eth11 | grep Link 

tcpdump

NOTE

tcpdump n i eth1 ‘host 192.168.216.132’ tcpdump n i eth1 ‘host 10.160.0.55’ tcpdump n i igb6 ‘host 172.30.255.20 and udp and port 10161’ tcpdump n i igb1 ‘host 10.27.252.249’ tcpdump n i vlan1 ‘host 172.31.0.49 and icmp’ tcpdump n i ibridge0 tcpdump n i eth1 ‘host 10.99.222.60’ tcpdump n i eth1 ‘host 1192.168.200.6’ tcpdump n i eth1 ‘host 10.170.100.68’ w pcap_68.pcap  tcpdump n i eth1 ‘host 10.170.100.68’  tcpdump n n i igb2 ‘host 172.16.21.2’ tcpdump n vv i eth1

Ловим SNMP пакеты

tcpdump n i eth0  'port 161 and udp'

tcpdump в файл

tcpdump n i eth1 'host 10.170.100.68' w pcap_68.pcap 
tcpdump n i eth1 'host 10.170.100.68' > tcpdump.txt

Iptables 

NOTE

iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 10022 j DNAT todestination 172.17.103.1:22 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 10443 j DNAT todestination 172.17.102.1:443 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 10080 j DNAT todestination 172.17.103.1:80 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.102.1:6980 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.102.1:6981 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.102.1:6982 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.102.1:6983 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.102.1:6984 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.102.1:6985 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.103.1:6980 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.103.1:6981 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.103.1:6982 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.103.1:6983 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.103.1:6984 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.103.1:6985 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.103.1:6980 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.103.1:6981 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.103.1:6982 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.103.1:6983 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.103.1:6984 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.103.1:6985 iptables t nat A PREROUTING d 172.17.102.1/32 p tcp m tcp dport 20112 j DNAT todestination 10.2.1.1:21 iptables t nat A pre_nat p tcp dport 20112 j DNAT todestination 10.2.1.1:21 83.171.116.138

  • Проброс пула портов один в один (с 80 по 60000) iptables t nat A PREROUTING d 2.63.173.178/32 p tcp m tcp dport 80:60000 j DNAT todestination 172.17.100.1

Нат сеть в сеть 

NOTE

iptables t nat I POSTROUTING s 10.72.2.0/24 d 10.253.78.0/24 j NETMAP to 10.253.75.0/24 iptables t nat I PREROUTING s 10.253.78.0/24 d 10.253.75.0/24 j NETMAP to 10.72.2.0/24

sudo iptables t nat I POSTROUTING s 192.168.0.0/24 d 10.85.0.0/24 j NETMAP to 172.17.18.0/24 sudo iptables t nat I PREROUTING s 10.85.0.0/24 d 172.17.18.0/24 j NETNAP to 192.168.0.0/2

  • “Всегда ДА”  Что бы получить 
5    SNAT       all    192.168.216.128/26   10.253.255.43        to:10.253.10.9

Надо ввести 

iptables t nat A POSTROUTING s 192.168.216.128/26 d 10.253.255.43/32 j SNAT tosource 10.253.10.9
iptables t nat A POSTROUTING s 172.17.102.1/32 d 83.171.116.10/32 p all j SNAT to 83.171.116.138

Посмотреть правила ната с номерами строк

iptables t nat L linenumbers n

Удалить правило за номером из ната  

iptables t nat D PREROUTING 28

Удалить все правила из ната

iptables F t nat v

Посмотреть правила доступа 

 iptables L 

Посмотреть правила доступа со счетчиками

 iptables t filter L n v 

Установить пакет

dpkg i iptablespersistent_1.00~sterra1_all.deb 

Пересчитать контрольные суммы на железках без АПМДЗ

/opt/VPNagent/bin/links_verify.sh update 

в 4.3 версии пакет netfilterpersistent уже предустановлен  !!!

Удалить правила фильтрации

4.2  service iptablespersistent flush 4.3  service netfilterpersistent flush 

Сохрнить правила 

4.2  service iptablespersistent save 4.3  service netfilterpersistent save

Добавить в автозагрузку

systemctl enable  netfilterpersisten

Проверить  сохраненные правила фильтрации 

cat /etc/iptables/rules.v4 

Для сохранения и очистки всех правил iptables, а также для автоматического применения сохраненных ранее правил после перезагрузки ОС необходимо установить debпакет iptablespersistent (утилита iptables предустановлена изначально). Получить debпакет iptablespersistent можно в личном кабинете Партнера (https://www.sterra.ru/auth/). 

Сертификаты

NOTE

cert_mgr show посмотреть текущие cert_mgr show i 11  посмотреть подробности сертификата cert_mgr  remove i 1  удалить сетрификат cert_mgr import f /certs/CA_last.cer –t  заливаем корневой cert_mgr import f /certs/gwx1.cer    заливаем локальный cert_mgr check  проверяем активны ли 

Cоздать запрос на сертификат

cert_mgr create subj “C=RU,OU=VESOVOI,O=VESOVOI_CONTROL, CN=SLUDA” GOST_R341012_256  cert_mgr create subj “C=RU,OU=Goverment,O=AMS_VLADIKAVKAZ, CN=AMS_GW_NOP” GOST_R341012_256  cert_mgr create subj “C=RU,OU=EBS,O=UUSRTK, CN=VGW_NOP” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=BBR_21” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RosAtom,O=RosAtom, CN=RosAtom_GW_2” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=BelSocBank_GW_21” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=VGV_GW_22” GOST_R341012_256

Cert_mgr create subj “C=RU,OU=RCHC,O=RCHC, CN=NOP_RCHC_Sushchevskij ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=MRSK,O=MRSK, CN=MRSK_Sovetskaya ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=IRKUT, CN=IRKUT_Simonova ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=IRKUT, CN=IRKUT_Polikarpova ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=SODFU, CN=SODFU_COD ” GOST_R341012_512

затем сохраняем в файл с расширением, .req Заходим в центр сертификации,  AllTasks/ Submit new reqest/ Затем Pending Reqest / AllTasks / Issue  Находим сертификат, в Issued Cerificates, открываем , экспортируем в формате x 64 Закидываем серт через Win SCP на Sterra

Пинг с интерфеса

 ```  ping I eth1 192.200.4.1

#### Ловим пакеты

klogview f 0xffffff | grep 192.168.1.1 klogview f 0xffffff  | grep 10.170.100.68 | tee klog_68.txt


#### Смотрим лицензионные ограничения

lic_mgr show_limits


#### Вводим новую лицензию 

lic_mgr set p GATE c 7730081654 n 191472 l 4300000A0FAWDUZU436APFBW5

#### Копированеи файлов по csp

 scp /home/sergiy/file root@losst.ru:/root/ 


#### Подрезаем MSS 

> [!NOTE]
> 
> у sterra оверхед 50b без ната И 58 с натом
> iptables A FORWARD p tcp tcpflags SYN,RST SYN j TCPMSS setmss 1410
> 1410=MTU40(ipv4 или 60 ipv6)overhead

#### IPERF

в 4.2  iperg2 в 4.3 iperf3
iperf B 192.200.3.1 s
iperf B 192.168.3.10 c 10.85.2.14 t 60 i 5
iperf c 87.245.179.79 t 60 i 5
#### Убить процесс

Это вместо диспетчера:
ps aux | grep нужнаяпрога
Это для убийства:
kill 9 PID
PID  берётся из выхлопа предыдущей команды.
Если прога запускалась от рута, то и убивать надо под рутом. 

#### Загрузка ЦПУ 

ps и top. 
ps aux sort pcpu 
#### Cмотрим отправленные и полученные пакеты по туннелю

whatch sa_mgr show
#### Установить дату 
date 08211555
date 081110302021.10
Здесь 08 — месяц, 21 — число, 15 — час, 55 — минуты.2021  год, 10  сек.
#### Настроить  NTP клиент 
> [!NOTE]
> 
> установить часовой пояс 
> dpkgreconfigure tzdata 
> cp /etc/ntp.conf /etc/ntp.conf.old
> rm /etc/ntp.conf
> root@sterragate:~# vim.tiny /etc/ntp.conf
> driftfile /var/lib/ntp/ntp.drift
> server 94.247.111.10 iburst
> server 194.190.168.1 iburst
> server 192.36.143.130 iburst
> restrict default limited kod notrap nomodify nopeer noquery
> restrict 127.0.0.1 
> restrict ::1 
> 
>  4.2
> /etc/init.d/ntp start
> /etc/init.d/ntp stop
> /etc/init.d/ntp status
> или
> 
> 4.3
> systemctl restart ntp.service  ???
> статус синхронизации
> ntpq p 
> 
>  Добавляем в автозапуск 4.2
> updaterc.d ntp enable 
> Добавляем в автозапуск 4.3
> systemctl enable ntp.service 

#### Настроить  DNS

4.3
sterragate(config)#ip nameserver 77.88.8.8 77.88.8.1 
4.2
root@sterragate:~# vim.tiny /etc/resolv.conf 
nameserver 8.8.8.8
nameserver 8.8.4.4 
/etc/init.d/resolv start
/etc/init.d/resolv status
#### Резервная копия всего 

[https://old.sterra.com/images/Scenarios/4_3/instr/ver_4_3_instr_07_simplebackup.pdf](https://old.sterra.com/images/Scenarios/4_3/instr/ver_4_3_instr_07_simplebackup.pdf)
csconf_mgr_show  cisco config
через скрипт который использует Up агент 
 /opt/UPAgent/bin/uprun vpnupdater backup b /home
/opt/UPAgent/bin/uprun vpnupdater restore b /home
 
- Так же в зависимости от используемого функционала необходимо копирование папок
 /etc/network/interfaces 
 /etc/ifaliases.cf 
 /var/sterra/containers/
 /etc/quagga/
 /etc/network/ifup.d/mgre*
 /etc/opennhrp/opennhrp.conf
 /var/log/quagga/
 /etc/keepalived/backup
 /etc/keepalived/fault
 /etc/keepalived/keepalived.conf 
/etc/keepalived/master
 /etc/ntp.conf
 /etc/dhcp/*.conf
 /etc/default/iscdhcpserver
 /etc/default/ntp
 /etc/default/ntpdate
 /etc/default/opennhrp
/etc/default/keepalived 
/etc/iptables/rules.v4 
/certs 
/etc/changeroutes

4.3
/opt/VPNagent/bin/get_info.bash
#### Сбор диагностической информации

https://doc.sterra.ru/rh_output/4.3/Gate/output/mergedProjects/Util_reference/get_info.bash.htm
#### 4.3  ошибки MTU ...

ip s link show br0

#### 4.3  состояние линка

ip link show br1

#### 4.3 смотрим  ip адреса

ip a

#### 4.3 смотрим  arp таблицу

ip n

#### 4.3  состояние линка

iftop i eth0