Meraki Wireless

Después de varios dias peleándome con los nuevos APs de Meraki, en concreto el modelo MR32 he decidido explicaros brevemente un problema común que os podeis encontrar.

Antes que nada debemos de saber que la gestión de los APs Meraki se realiza desde del cloud (https://account.meraki.com/secure/login/dashboard_login) y por ello la VLAN de gestión debe de tener salida a Internet permitiendo los puertos necesarios (Firewall_Rules_for_Cloud_Controller_Connectivity). Además la red de gestión debe de tener DHCP puesto que la primera vez arranca un AP éste coge la IP por DHCP.

Una vez realizado esto ya tendremos acceso al dashboard de meraki y veremos algo tal que así:

dashboard

La primera vez que accedemos al dashboard deberemos de crear un “Network” que para Meraki es una empresa o un conjunto de Access Points.

Ahora ya sólo nos queda configurar las redes de servicio que son lo SSID. Para ello vamos a Wireless > Configure > SSID

  1. Modificaremos el nombre del SSID a publicar con rename. En nuestro caso pusimos GUEST.
  2. Iremos a Edit setting para indicar:

a.Tipo de autenticación: Open, WEP/WPA2 o 802.1X

setting_1

b. Asignamiento de IP: “bridge” porque dispositvo de LAN es el DHCP server

setting_2

Deberemos también indicar el ID de la VLAN del SSID GUEST:

setting_3

Después también más features opciones como son activar un portal cautivo (Splash page).

Ya con estos pasos tendremos nuestra red wifi funcionando y no habremos tardado más de 10 minutos. Pero como ya sabemos el mundo del Networking no es trivial y nos podemos encontrar muchos problemas.

Vamos a suponer que como a mi me pasó tenemos una mala experiencia y los usuarios se desautentican continuamente. Esto lo veremos en: Wireless > Access Points > Event Log

setting_4

Lo que debemos de hacer en este caso es revisar la configuración inicial y verificar que cliente esté introduciendo la password correctamente. Si esto está OK vamos a aprovechar la facilitad que nos brinda Meraki para hacer un “Packet Capture”. Porque aquí es tan sencillo como ir a Network-Wide > Monitor > Packet Capture y pondremos el tiempo en segundos.

Capturae_Meraki

Así que en mi caso me coordine con cliente y antes de que hiciera las pruebas programé la captura de paquetes durante 1 minuto y medio (90segundos) y al abrirlo con Wireshark vi que había un AP Aruba que propagaba paquetes beacons y creaba interferencias con mi Meraki.

Para solucionar  estas interferencias fui a Wireless > Monitori > Air Marshall y añadí el AP Aruba en la whitelist.

setting_5

Ya con todo esto funcionó sin problemas.

 

Publicado en Uncategorized | Deja un comentario

Despliegue de VoIP con CISCO

Como Ingeniero de Networking experto en VoIP hace apróximadamente 3 semanas tuve que realizar una configuración desde 0 con centralita Call Manager y un Contact Center para una empresa importante a nivel Internacional.

Voy a aprovechar el escenario con el que me encontré para explicaros como realizar un despliegue 100% de VoIP con Cisco.

El despligue va a consistir en las siguientes fases:

  • Solicitar al operador de telefonía que nos facilite los DDIs de la empresa.
  • Configuración en Call Manager de las llamadas Inbound / Outbound
  • Configuración numeraciones análogicas para los Faxes
  • Añadir todos los dispositivos en Call Manager
  • Configuración Gateways

Por último para asegurar un correcto funcionamiento se realizará troobleshooting con ayuda de:

  • Dialed Number Analizer
  • Debug en el gateway
  • TranslatorX

El post será subido a lo largo de la semana en: http://blog.networkfaculty.com/es/

Publicado en VoIP | Deja un comentario

VTI -VPN Tunnel Interfaces

The VTI interfaces is used in router-based VPN. In checkpoint firewall is possible use with GAIA and SPLAT OS. The different modes are:

-Numbered: Is configured a unique local and remote IP address. This unique IP isn’t same that another interface.

-Unnumbered: Is not need to configure a IP address. Is configured in Proxy interfaces and is supported by GAIA and IPSE SO.

Screen Shot 2016-01-03 at 14.27.26

To see the VTI status, use the ‘vpn shell’ command. If appear this output contact with us.

Screen Shot 2016-01-03 at 14.21.51

 

 

Publicado en Checkpoint | Deja un comentario

Checkpoint

Después de unos meses inmerso en el curso de la certificación CCSE- Check Point Certified Security Expert he decidido compartir con vosotros una tabla con todos los comandos que os serán de gran utilidad para obtener dicha certificación y además os sacarán de más de un apuro en el día a día como Security Networking.

Screen Shot 2015-12-06 at 13.57.14

Si deseais ampliar conocimientos sobre las nuevas “features” que nos presenta checkpoint no dudeis en contactar: networkingcontrol@gmail.com

Publicado en Checkpoint | Deja un comentario

Cluster Checkpoint en AWS

A partir de la versión R77.10 de checkpoint ya es posible tener una instancia en el cloud de AWS corriendo un cluster de checkpoints en modo Cluster XL “Active – Passive”.

Publicado en Checkpoint | Deja un comentario

Check Point Debugging

Hoy os traemos como realizar un debugging en los nuevo Check Point NGX que nos permitirá realizar un troubleshooting avanzado.

TRoubleshooting_CheckPoint

Recursos:

  1. Zdebug

Herramienta básica que nos da una rápida visión de lo que está sucediendo y muestra un diagnóstico simple del firewall.

El uso de zdebug es recomendado para administradores junior ya que por defecto ya tiene una configuración predeterminada y no es necesario configurar manualmente.

2. Kdebug

Suele usarse cuando uno posee unos conocimientos avanzados de troubleshooting y para realizar diagnósticos avanzados en los que se necesita más información que con Zdebug.

Zdebug&Kdebug_Compare

Una vez más debemos de ser conscientes que estamos consultando información sobre dispositivos que están en producción y que una saturación de los recursos podría provocar un corte. Por ello es necesario filtrar la información del siguiente modo:

Filter

Comando usado:

fw ctl debug -t <type> -f <freq>

Tened en cuenta que el “type” NONE no habrá mensajes de debugging y no nos será útil el output ya que no veremos ningún warning por ejemplo.

A continuación mostramos un ejemplo en el que los parámetros “type” y “freq” son usados como argumentos del p.

Pic7_1

Publicado en Checkpoint | Deja un comentario

ASA AES Encryption

A dia de hoy todavía nos encontramos algunos ASA con SSH versión 1. La debilidad de esta versión es que las claves viajan en texto plano sin ningún medio de encriptación como puede ser SSL. Para evitar cualquier vulnerabilidad se aconseja antes de poner en producción dicho firewall habilitar la versión 2 de SSH.

Para ello es necesario habilitar las siguientes licencias:

License_1

Como podemos comprobar con la imagen anterior las licencias de los algoritmos de autenticación VPN-3DES y VPN-3DES-AES no han sido activadas.
Para activarlas iremos a la sección Product License Registration en la página web de Cisco.

Aparecerá un formulario como el que mostramos en el que nos pedirá el serial number del ASA.

License_2

Una vez aceptemos las condiciones se nos enviará via mail la “activation-key” con un formato similar a este:

License_3

En el mismo correo nos indicarán los comandos a ejecutar en el ASA via CLI.

License_4

Ya con todo esto nos permitirá habilitar SSH versión 2:

(config)#ssh version 2

Publicado en Firewall | Deja un comentario