Как посмотреть логи, падал ли линк и когда
less /var/log/messages | grep eth0
Прядок прохождения пакетов
Как посмотреть таблицу мак адресов
создаем мост
brctl addbr 1
добавляем туда интерфеqс eth0
brctl addif 1 eth0
cмотрим
brctl showmacs 1
удаляем
brctl delbr 1
brctl addbr 1
brctl addif 1 eth0
brctl showmacs 1
brctl delbr 1
Сменить mac на sterra
4.2
ifconfig <iface> hw ether XX:XX:XX:XX:XX:XX
4.3
ip link set dev <your device here> down
ip link set dev <your device here> address <your new mac address>
ip link set dev <your device here> up
Правим порты шифрования в LSP config
lsp_mgr showinfo – для просмотра информации о текущей конфигурации lsp_mgr load – для загрузки конфигурации из файла в базу Продукта lsp_mgr unload – для загрузки политики Default Driver Policy lsp_mgr reload – для перезагрузки LSP конфигурации (https://doc.sterra.ru/rh_output/4.2/Gate/output/mergedProjects/Util/lsp_mgr_check.htm) – для проверки LSP конфигурации. смотрим текущй lsp_mgr show создаем из текущего конфига файл где в секции IKEParameters добавляем порты IKEParameters( LocalPort = 30500 NATTLocalPort = 34500 RemotePort = 30500 NATTRemotePort = 34500 FragmentSize = 0 ) Проверяем конфиг lsp_mgr check f LSP_conf_NEW.txt грузим конфиг lsp_mgr load f NEW_LSP.txt проверяем lsp_mgr showinfo, lsp_mgr show
NOTE
После загрузки отредактированной конфигурации командой lsp_mgr load, внесенные изменения будут присутствовать только в nativeконфигурации (LSP), в ciscolike конфигурации этих изменений не будет. При следующей конвертации ciscolike конфигурации внесенные изменения в nativeконфигурации исчезнут. Предыдущая измененная конфигурация будет сохранена в файле non_cscons.lsp.
Смотрим серийный номер платформы
midecode t 1 | grep Serial
Видео траблшутинг
Перегружен ли шлюз
NOTE
kstat_show Если суммарное количество пакетов по следующим счетчикам: tx errors route errors skb allocation errors send queue overflows high priority packets dropped low priority packets dropped high priority packets passed while overloaded превышает 1% от суммы пакетов по следующим счетчикам: ipsec in pkt ipsec in oct то Шлюз считается перегруженным.
Добавляем правило в ACL на первую строчку
1 permit ip host 92.253.219.109 any
Узнать версию CPU
cat /proc/cpuinfo
lscpu
Фильтруем вывод логов
cat /var/log/cspvpngate.log | grep 'Apr 1' | grep closed
Загрузка интрефейса
iftop n i eth0 (смотрим rate)
vnstat l i eth0
Перезапустить сервисы vpn
service vpngate restart
Определение загруженности подсистемы шифрования
NOTE
Для просмотра счетчиков IPsec драйвера можно воспользоваться утилитой kstat_show.
Если значение хоть одного из перечисленных счетчиков ‘skb allocation errors’, ‘send queue overflows’, ‘high priority packets dropped’, ‘low priority packets dropped’ в выводе утилиты kstat_show увеличивается, то это свидетельствует о перегруженности подсистемы шифрования СТерра Шлюз
Не править файл /etc/ifaliases.cf
без доступа по консоли, можно потерять доступ полностью
Узнать версию платформы
NOTE
Вводим команду
dmidecode | grep A3 ‘^System Information’
затем гуглим по
Product Name:
Например
NCA1010AST это 100
https://www.sterra.ru/company/news/novyemodelishlyuzovsterranaaplanner/
NCA5210CST это G7000
https://store.softline.ru/sterra/g700042174788redstkc1174057/
LACP Sterra
Bonding (port channel) интерфейсы
Где лежат наcтройки SNMP И скрипт проверки сертификатов
/etc/snmp/snmpd.conf
Перезапустить службу
service snmpd restart
или
/etc/init.d/snmpd restart
Сразу в en cscons
su cscons
Из консоли в root
sys
Посмотреть конфиг из root
csconf_mgr show
PIng c LInux с таймингом
ping 87.226.166.119 | while read pong; do echo "$(date): $pong"; done
Преход в cisco like из рута
Логин – cscons
Пароль – csp
cs_console
en
csp
Cбросить все туннели из линукса
sa_mgr clear all
Ошибка запуска СА
Проверка туннелей
cisco like
show crypto isakmp sa
из консоли
sa_mgr show
CGW CLI
run sa_mgr show
Пересчитать контрольные суммы файла ifaliases.cf
integr_mgr calc f /etc/ifaliases.cf
Посмотреть агрегированный линк
ip address show | grep bond0
Посмотреть все интерфейсы
ip a
Посмотреть состояние линка (интерфейса)
ethtool eth11 | grep Link
tcpdump
NOTE
tcpdump n i eth1 ‘host 192.168.216.132’ tcpdump n i eth1 ‘host 10.160.0.55’ tcpdump n i igb6 ‘host 172.30.255.20 and udp and port 10161’ tcpdump n i igb1 ‘host 10.27.252.249’ tcpdump n i vlan1 ‘host 172.31.0.49 and icmp’ tcpdump n i ibridge0 tcpdump n i eth1 ‘host 10.99.222.60’ tcpdump n i eth1 ‘host 1192.168.200.6’ tcpdump n i eth1 ‘host 10.170.100.68’ w pcap_68.pcap tcpdump n i eth1 ‘host 10.170.100.68’ tcpdump n n i igb2 ‘host 172.16.21.2’ tcpdump n vv i eth1
Ловим SNMP пакеты
tcpdump n i eth0 'port 161 and udp'
tcpdump в файл
tcpdump n i eth1 'host 10.170.100.68' w pcap_68.pcap
tcpdump n i eth1 'host 10.170.100.68' > tcpdump.txt
Iptables
NOTE
iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 10022 j DNAT todestination 172.17.103.1:22 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 10443 j DNAT todestination 172.17.102.1:443 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 10080 j DNAT todestination 172.17.103.1:80 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.102.1:6980 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.102.1:6981 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.102.1:6982 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.102.1:6983 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.102.1:6984 iptables t nat A PREROUTING d 83.171.116.138/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.102.1:6985 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.103.1:6980 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.103.1:6981 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.103.1:6982 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.103.1:6983 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.103.1:6984 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.103.1:6985 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6980 j DNAT todestination 172.17.103.1:6980 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6981 j DNAT todestination 172.17.103.1:6981 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6982 j DNAT todestination 172.17.103.1:6982 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6983 j DNAT todestination 172.17.103.1:6983 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6984 j DNAT todestination 172.17.103.1:6984 iptables t nat A PREROUTING d 83.171.116.55/32 p tcp m tcp dport 6985 j DNAT todestination 172.17.103.1:6985 iptables t nat A PREROUTING d 172.17.102.1/32 p tcp m tcp dport 20112 j DNAT todestination 10.2.1.1:21 iptables t nat A pre_nat p tcp dport 20112 j DNAT todestination 10.2.1.1:21 83.171.116.138
- Проброс пула портов один в один (с 80 по 60000) iptables t nat A PREROUTING d 2.63.173.178/32 p tcp m tcp dport 80:60000 j DNAT todestination 172.17.100.1
Нат сеть в сеть
NOTE
iptables t nat I POSTROUTING s 10.72.2.0/24 d 10.253.78.0/24 j NETMAP to 10.253.75.0/24 iptables t nat I PREROUTING s 10.253.78.0/24 d 10.253.75.0/24 j NETMAP to 10.72.2.0/24
sudo iptables t nat I POSTROUTING s 192.168.0.0/24 d 10.85.0.0/24 j NETMAP to 172.17.18.0/24 sudo iptables t nat I PREROUTING s 10.85.0.0/24 d 172.17.18.0/24 j NETNAP to 192.168.0.0/2
- “Всегда ДА” Что бы получить
5 SNAT all 192.168.216.128/26 10.253.255.43 to:10.253.10.9
Надо ввести
iptables t nat A POSTROUTING s 192.168.216.128/26 d 10.253.255.43/32 j SNAT tosource 10.253.10.9
iptables t nat A POSTROUTING s 172.17.102.1/32 d 83.171.116.10/32 p all j SNAT to 83.171.116.138
Посмотреть правила ната с номерами строк
iptables t nat L linenumbers n
Удалить правило за номером из ната
iptables t nat D PREROUTING 28
Удалить все правила из ната
iptables F t nat v
Посмотреть правила доступа
iptables L
Посмотреть правила доступа со счетчиками
iptables t filter L n v
Установить пакет
dpkg i iptablespersistent_1.00~sterra1_all.deb
Пересчитать контрольные суммы на железках без АПМДЗ
/opt/VPNagent/bin/links_verify.sh update
в 4.3 версии пакет netfilterpersistent уже предустановлен !!!
Удалить правила фильтрации
4.2 service iptablespersistent flush 4.3 service netfilterpersistent flush
Сохрнить правила
4.2 service iptablespersistent save 4.3 service netfilterpersistent save
Добавить в автозагрузку
systemctl enable netfilterpersisten
Проверить сохраненные правила фильтрации
cat /etc/iptables/rules.v4
Для сохранения и очистки всех правил iptables, а также для автоматического применения сохраненных ранее правил после перезагрузки ОС необходимо установить debпакет iptablespersistent (утилита iptables предустановлена изначально). Получить debпакет iptablespersistent можно в личном кабинете Партнера (https://www.sterra.ru/auth/).
Сертификаты
NOTE
cert_mgr show посмотреть текущие cert_mgr show i 11 посмотреть подробности сертификата cert_mgr remove i 1 удалить сетрификат cert_mgr import f /certs/CA_last.cer –t заливаем корневой cert_mgr import f /certs/gwx1.cer заливаем локальный cert_mgr check проверяем активны ли
Cоздать запрос на сертификат
cert_mgr create subj “C=RU,OU=VESOVOI,O=VESOVOI_CONTROL, CN=SLUDA” GOST_R341012_256 cert_mgr create subj “C=RU,OU=Goverment,O=AMS_VLADIKAVKAZ, CN=AMS_GW_NOP” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=UUSRTK, CN=VGW_NOP” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=BBR_21” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RosAtom,O=RosAtom, CN=RosAtom_GW_2” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=BelSocBank_GW_21” GOST_R341012_256 cert_mgr create subj “C=RU,OU=EBS,O=EBS, CN=VGV_GW_22” GOST_R341012_256
Cert_mgr create subj “C=RU,OU=RCHC,O=RCHC, CN=NOP_RCHC_Sushchevskij ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=MRSK,O=MRSK, CN=MRSK_Sovetskaya ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=IRKUT, CN=IRKUT_Simonova ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=IRKUT, CN=IRKUT_Polikarpova ” GOST_R341012_256 cert_mgr create subj “C=RU,OU=RTK,O=SODFU, CN=SODFU_COD ” GOST_R341012_512
затем сохраняем в файл с расширением, .req Заходим в центр сертификации, AllTasks/ Submit new reqest/ Затем Pending Reqest / AllTasks / Issue Находим сертификат, в Issued Cerificates, открываем , экспортируем в формате x 64 Закидываем серт через Win SCP на Sterra
Пинг с интерфеса
``` ping I eth1 192.200.4.1
#### Ловим пакеты
klogview f 0xffffff | grep 192.168.1.1 klogview f 0xffffff | grep 10.170.100.68 | tee klog_68.txt
#### Смотрим лицензионные ограничения
lic_mgr show_limits
#### Вводим новую лицензию
lic_mgr set p GATE c 7730081654 n 191472 l 4300000A0FAWDUZU436APFBW5
#### Копированеи файлов по csp
scp /home/sergiy/file root@losst.ru:/root/
#### Подрезаем MSS
> [!NOTE]
>
> у sterra оверхед 50b без ната И 58 с натом
> iptables A FORWARD p tcp tcpflags SYN,RST SYN j TCPMSS setmss 1410
> 1410=MTU40(ipv4 или 60 ipv6)overhead
#### IPERF
в 4.2 iperg2 в 4.3 iperf3
iperf B 192.200.3.1 s
iperf B 192.168.3.10 c 10.85.2.14 t 60 i 5
iperf c 87.245.179.79 t 60 i 5
#### Убить процесс
Это вместо диспетчера:
ps aux | grep нужнаяпрога
Это для убийства:
kill 9 PID
PID берётся из выхлопа предыдущей команды.
Если прога запускалась от рута, то и убивать надо под рутом.
#### Загрузка ЦПУ
ps и top.
ps aux sort pcpu
#### Cмотрим отправленные и полученные пакеты по туннелю
whatch sa_mgr show
#### Установить дату
date 08211555
date 081110302021.10
Здесь 08 — месяц, 21 — число, 15 — час, 55 — минуты.2021 год, 10 сек.
#### Настроить NTP клиент
> [!NOTE]
>
> установить часовой пояс
> dpkgreconfigure tzdata
> cp /etc/ntp.conf /etc/ntp.conf.old
> rm /etc/ntp.conf
> root@sterragate:~# vim.tiny /etc/ntp.conf
> driftfile /var/lib/ntp/ntp.drift
> server 94.247.111.10 iburst
> server 194.190.168.1 iburst
> server 192.36.143.130 iburst
> restrict default limited kod notrap nomodify nopeer noquery
> restrict 127.0.0.1
> restrict ::1
>
> 4.2
> /etc/init.d/ntp start
> /etc/init.d/ntp stop
> /etc/init.d/ntp status
> или
>
> 4.3
> systemctl restart ntp.service ???
> статус синхронизации
> ntpq p
>
> Добавляем в автозапуск 4.2
> updaterc.d ntp enable
> Добавляем в автозапуск 4.3
> systemctl enable ntp.service
#### Настроить DNS
4.3
sterragate(config)#ip nameserver 77.88.8.8 77.88.8.1
4.2
root@sterragate:~# vim.tiny /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4
/etc/init.d/resolv start
/etc/init.d/resolv status
#### Резервная копия всего
[https://old.sterra.com/images/Scenarios/4_3/instr/ver_4_3_instr_07_simplebackup.pdf](https://old.sterra.com/images/Scenarios/4_3/instr/ver_4_3_instr_07_simplebackup.pdf)
csconf_mgr_show cisco config
через скрипт который использует Up агент
/opt/UPAgent/bin/uprun vpnupdater backup b /home
/opt/UPAgent/bin/uprun vpnupdater restore b /home
- Так же в зависимости от используемого функционала необходимо копирование папок
/etc/network/interfaces
/etc/ifaliases.cf
/var/sterra/containers/
/etc/quagga/
/etc/network/ifup.d/mgre*
/etc/opennhrp/opennhrp.conf
/var/log/quagga/
/etc/keepalived/backup
/etc/keepalived/fault
/etc/keepalived/keepalived.conf
/etc/keepalived/master
/etc/ntp.conf
/etc/dhcp/*.conf
/etc/default/iscdhcpserver
/etc/default/ntp
/etc/default/ntpdate
/etc/default/opennhrp
/etc/default/keepalived
/etc/iptables/rules.v4
/certs
/etc/changeroutes
4.3
/opt/VPNagent/bin/get_info.bash
#### Сбор диагностической информации
https://doc.sterra.ru/rh_output/4.3/Gate/output/mergedProjects/Util_reference/get_info.bash.htm
#### 4.3 ошибки MTU ...
ip s link show br0
#### 4.3 состояние линка
ip link show br1
#### 4.3 смотрим ip адреса
ip a
#### 4.3 смотрим arp таблицу
ip n
#### 4.3 состояние линка
iftop i eth0