Настройка туннеля до Azure на Fortigate

Опубликовано 17 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.

config firewall address
edit «azure-network»
set subnet 10.0.111.0 255.255.255.0
next
edit «internal»
set subnet 192.168.111.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit «Azure»
set interface «port1»
set ike-version 2
set nattraversal disable
set keylife 56600
set proposal aes256-sha256
set dhgrp 2
set remote-gw 52.1.2.3
set psksecret key123key123key123
next
end
config vpn ipsec phase2-interface
edit «Azure»
set phase1name «Azure»
set proposal aes256-sha256
set dhgrp 14
set keepalive enable
set auto-negotiate enable
set src-addr-type name
set dst-addr-type name
set keylifeseconds 7200
set src-name «internal»
set dst-name «azure-network»
next
end
config system interface
edit «Azure»
set tcp-mss 1350
next
end
config router static
edit 2
set dst 10.0.111.0 255.255.255.0
set device «Azure»
next
end

Где:

port1 — интерфейс wan который будет инициализировать туннель
52.1.2.3 — адрес шлюза на стороне сервис провайдера
key123key123key123 — предварительный общий ключ
10.0.111.0 — локальная сеть на стороне сервис провайдера
192.168.111.0 — локальная сеть на вашей стороне

Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.

Рубрика: Azure, Fortinet, Microsoft, Quick Tip | Метки: , | Оставить комментарий

Настройка туннеля до Облакотеки на Cisco 4000 серии

Опубликовано 14 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Облакотека на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal CLOUD
encryption aes-cbc-128
integrity sha256
group 2
!
crypto ikev2 policy CLOUD
proposal CLOUD
!
crypto ikev2 keyring CLOUD
peer CLOUD
address 37.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile CLOUD
match address local 195.1.2.3
match identity remote address 37.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local CLOUD
!
crypto ipsec transform-set CLOUD esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile CLOUD
set transform-set CLOUD
set pfs group14
set ikev2-profile CLOUD
!
interface Tunnel1015
description — To CLOUD —
ip vrf forwarding Intranet
ip address 10.10.230.1 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 37.1.2.3
tunnel protection ipsec profile CLOUD
!
ip route vrf Intranet 192.168.150.0 255.255.255.0 Tunnel1015
!

Где:

37.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3- адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.150.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Выше приведены настройки IPSEC со стороны сервис провайдера.

Рубрика: Cisco, Quick Tip, Облакотека | Метки: , , , , | Оставить комментарий

Настройка туннеля до Azure на Cisco 4000 серии

Опубликовано 14 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal AZURE
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy AZURE
proposal AZURE
!
crypto ikev2 keyring AZURE
peer AZURE
address 52.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile AZURE
match address local 195.1.2.3
match identity remote address 52.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local AZURE
!
crypto ipsec transform-set AZURE esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile AZURE
set transform-set AZURE
set ikev2-profile AZURE
!
interface Tunnel1016
description — To AZURE —
ip vrf forwarding Intranet
ip address 10.10.230.4 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 52.1.2.3
tunnel protection ipsec profile AZURE
!
ip route vrf Intranet 192.168.160.0 255.255.255.0 Tunnel1016
!

Где:

52.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3 — адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.160.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Рубрика: Azure, Cisco, Microsoft, Quick Tip | Метки: , , , , | Оставить комментарий

PIN-коды токенов по умолчанию

Опубликовано 29 января, 2018 автором Sergey Bezpalov

Таблица со значениями PIN-кодов (паролей) по умолчанию:

 
  Пользователя Администратора
JaCarta PKI 11111111 00000000
JaCarta ГОСТ не задан 1234567890
JaCarta LT 1234567890 не задан
eToken PRO Java 1234567890 не задан
eToken ГОСТ не задан 1234567890
RuToken 12345678 87654321

В случае «комбинированной» модели, например, JaCarta PKI/ГОСТ используются пароли по умолчанию для каждого из апплетов. Исключение составляет JaCarta PKI/ГОСТ SE: PIN-код пользователя ГОСТ-апплета: 0987654321, остальные пароли стандартные.

Рубрика: Hardware, Security, Аладдин Р.Д. | Метки: , | Оставить комментарий

Пароль по умолчанию на 1600 серии телефонов Avaya

Опубликовано 23 июня, 2017 автором Sergey Bezpalov

Согласно гида для администраторов заводской (по умолчанию) пароль 2 7 2 3 8.

Слово Craft (для удобства запоминания).

Работает для всей серии 16й серии IP телефонов Avaya (1603, 1608, 1616 и т.д.)

Рубрика: Avaya, Hardware, UC | Метки: , , , , | Оставить комментарий

Fallout 4 перестал запускаться

Опубликовано 19 августа, 2016 автором Sergey Bezpalov

Обновил свой Windows 10 до версии 1607 (Anniversary Update) и у меня перестал запускаться Fallout 4 (Steam редакция).

Симптомы — запускается Launcher (стартовое окно с выбором опций запуска), выбираю Играть (Play), запускается приложение и вылетает на рабочий стол (без объяснения причин).

Решение — установка режима совместимости «Windows 8» для приложений Fallout4 и Fallout4Launcher, находящихся в «X:\Program Files (x86)\Steam\SteamApps\common\Fallout 4».

Рубрика: Off-topic, Windows | Метки: , , | Оставить комментарий

Неизвестная ошибка в фильмах на Apple TV 4го поколения

Опубликовано 27 марта, 2016 автором Sergey Bezpalov

После установки обновления tvOS 9.2 на Apple TV 4го поколения, пропала возможность проигрывания фильмов из магазина Apple iTunes, на экране появляется сообщение «Неизвестная ошибка» и кнопка «OK».

Весь остальной функционал не затронут, например, приложения работают и проигрываю контент.

Симптомы:
Неизвестная ошибка в фильмах на Apple TV 4го поколения
Unknown error in films on Apple TV 4th after last update

Решение:
Переключите интерфейс с Русского на English без смены формата региона.
Дополнительно можно сделать logout с учетной записи iTunes с выбором забыть все сохраненные учетные данные.
В самом крайнем случае делается полный сброс, но тогда придется ставить приложения вновь.
Перезагрузка после каждого из этапов будет полезна.

Я начал с очистки учетных записей, не помогло, переключил интерфейс на English после этого показ заработал.

Дискуссия на форуме Apple доступна здесь.

Рубрика: Apple, Quick Tip | Метки: , | Оставить комментарий

Включение DKIM в Office 365

Опубликовано 5 января, 2016 автором Sergey Bezpalov

Как включить функционал DKIM для вашего домена, если он размещен в Office 365 или защищен с помощью Exchange Online Protection? Все просто…

Во-первых, каждому домену, которому необходимо включить поддержку DKIM необходимо создать две записи CNAME в DNS зоне, обращаю внимание это не TXT записи, как при обычном внедрении.

Хост: selector1._domainkey
Значение: selector1-<domainGUID>._domainkey.<inititalDomain>
TTL: 3600

Хост: selector2._domainkey
Значение: selector2-<domainGUID>._domainkey.<inititalDomain>
TTL: 3600

<domainGUID> — это набор символов до .mail.protection.outlook.com упоминаемый в выданной вам MX записи Office 365.

Например, для домена example.ru:

где MX запись example.ru. 3600 IN MX 10 example-ru0c.mail.protection.outlook.com.

значением <domainGUID> будет example-ru0c.

<inititalDomain> — основной домен выбранный вами во время инициализации услуги, как правило указан в локальной учетной записи администратора услуги.

Например, для учетной записи admin@exampleru.onmicrosoft.com значением <inititalDomain> будет exampleru.

Таким образом для домена example.ru записи CNAME будут следующие:

selector1._domainkey.example.ru IN CNAME selector1-example-ru0c._domainkey.exampleru.onmicrosoft.com
selector2._domainkey.example.ru IN CNAME selector2-example-ru0c._domainkey.exampleru.onmicrosoft.com

Во-вторых, вам необходимо включить механизм DKIM подписывания для выбранного домена. Это можно сделать в панели управления
Exchange admin center > protection > dkim.

O365 DKIM GUI

Вы также можете это сделать посредством Powershell (как подключиться):

New-DkimSigningConfig –DomainName <domain> –Enabled $true

Диагностика, отправьте письмо на сторонний почтовый ящик и посмотрите заголовок почтового сообщения он должен содержать информацию о DKIM, например:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.ru;
s=selector1; h=From:To:Date:Subject:Message-ID:Content-Type:MIME-Version;
bh=<body hash>;
b=<signed field>

Более подробную информацию и текущие политики можно увидеть при помощи команды Get-DkimSigningConfig.

P.S.
Если отправить письмо на Яндекс.Почту, то открыв письмо в web можно увидеть зеленую печать рядом с адресатом, которая свидетельствует о подлинности цифровой подписи DKIM.

Дополнительная информация, доступна по ссылкам.

Рубрика: Exchange, Microsoft, Office 365, Security | Метки: , , | Оставить комментарий

Skype for Business на тонких клиентах Citrix

Опубликовано 4 января, 2016 автором Sergey Bezpalov

Технический обзор производительности решения Citrix HDX RealTime Optimization Pack позволяющего запускать клиент Lync удаленно посредством тонких клиентов.

Более подробно на сайте производителя.

Рубрика: Citrix, Lync, Skype For Business, UC | Метки: , | Оставить комментарий

Проверка DNS записей систем Объединенных Коммуникаций

Опубликовано 21 декабря, 2015 автором Sergey Bezpalov

Часто встает необходимость в проверке правильности настройки DNS записей для определенного домена, или уточнить возможность федеративных отношений Microsoft Lync между организациями.

Для этой цели создана утилита — UC Records Lookup.

Если запись _sipfederationtls._tcp присутствует — пробуйте, ваш домен настроен на поддержку федераций.

Поддерживаются: Cisco Expressway, Microsoft Skype for Business, Polycom RealPresence.

Это первая, пилотная, редакция. В дальнейшем буду дорабатывать.

Рубрика: Avaya, Cisco, Lync, Microsoft, OCS, Office 365, Polycom, Skype For Business, UC | Метки: , , , , , | Оставить комментарий