Mi hanno regalato un pix 515 che era un "secondary" di un sistema failover.
ci sono entrato solo che non c'è verso di farlo andare in rete.Suppongo che ciò sia dovuto al fatto che se non "sente" il primary cadere,non manda su le interfacce.
Che debbo fare per trasformarlo in un pix liscio,senza failover...calcolando che ho un account per scaricare le "IOS"
P.S. mi servirebbe la 6.3 per ricreare in lab una situazione che dovrò affrontare fra un pò.....per sul sito Cisco non ve ne è traccia??
Grazie.
Pix da failover a "semplice"....
Moderatore: Federico.Lagni
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Su un 515 a meno che nn abbi ancora 64 Mb di RAM mettici la IOS 8 non 6!
Cmq la 6.3.5 su cisco.com la si scarica ancora!
Se hai accesso alla config del pix basta che dai il comando "no failover" oppure cancelli tutto e rifai tutto e fai prima...
Attento ad una cosa però: che licenza ha quel pix? Se prima aveva il compito di secondary può essere che x risparmiare abbiamo comprato la licenza sl essere secondary e se nn vede il primario si riavvia ogni 24 ore...
Cmq la 6.3.5 su cisco.com la si scarica ancora!
Se hai accesso alla config del pix basta che dai il comando "no failover" oppure cancelli tutto e rifai tutto e fai prima...
Attento ad una cosa però: che licenza ha quel pix? Se prima aveva il compito di secondary può essere che x risparmiare abbiamo comprato la licenza sl essere secondary e se nn vede il primario si riavvia ogni 24 ore...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Azz. e come posso fare per evitarlo....cioè le licenze dei pix come sono vendute...c'è qualche link che le spieghi?Wizard ha scritto:....essere secondary e se nn vede il primario si riavvia ogni 24 ore...
Mi serve la 6.3.3 e la 6.3.4 per nricreare un Lab su cui fare delle prove per un grosso casino che dorò andare ad affrontare....poi metteroò su la 8 visto che 128Mb di ram.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Guarda, dai il comando "sh tech", alla fine (c'è una bella sbrodolata) se ha la licenza di solo standby ti viene scritto tra 2 righe asteriscate
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
non vedo nessuna riga asterischata...però da sh ver leggo This PIX has a Failover Only (FO) license .....ummm devo informarmi che smarnet ci vuole e se si può aggiornarlo...
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Pare che è un casino e costa un casino....quasi conviene pigliare un asa 5510...per ora da cisco.com ho scaricato la key x il 3DES(che mi serve per ricreare l'ambiente di produzione).
Cmq il pix neanche pinga...in pratica non va in rete ed ho il forte dubbio che dipenda dalla licenza failover(o no??).
Per aggiornarlo dovrei scaricarmi le IOS (già fatto) e poi ottenere una key (a pagamento?)per le feature set giusto?
Ma da quello che vedo non è possibile ottenere una key per la 6.3.4(neanche per la 6.3.5 che è quella che ho sul pix in dotazione al LAB).
Quindi dovrei :
1) mettere su la key per il 3DES(per ritrovarmelo anche in caso di downgrade)
2) fare l'upgrade a una versione dii PIX OS per cui è possibile acquistare una key
3) mettere su la key x il featur set che mi serve
4) fare il downgrade alla versione di PIX OS che mi occorre(6.3.4)
Tutto ciò senza avere la certezza che poi il tutto funzionerà......
Cmq il pix neanche pinga...in pratica non va in rete ed ho il forte dubbio che dipenda dalla licenza failover(o no??).
Per aggiornarlo dovrei scaricarmi le IOS (già fatto) e poi ottenere una key (a pagamento?)per le feature set giusto?
Ma da quello che vedo non è possibile ottenere una key per la 6.3.4(neanche per la 6.3.5 che è quella che ho sul pix in dotazione al LAB).
Quindi dovrei :
1) mettere su la key per il 3DES(per ritrovarmelo anche in caso di downgrade)
2) fare l'upgrade a una versione dii PIX OS per cui è possibile acquistare una key
3) mettere su la key x il featur set che mi serve
4) fare il downgrade alla versione di PIX OS che mi occorre(6.3.4)
Tutto ciò senza avere la certezza che poi il tutto funzionerà......
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sinceramente nn sn molto esperto di licenze...
Di sicuro se tutto questo è solo x test nn so se ne vale la pena...
Di sicuro se tutto questo è solo x test nn so se ne vale la pena...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
già...son pienamente d'accordo....però tenere li un pix carrozzato con 16mb flash e 128mb ram a pigliar polvere....proprio mi dispiace......
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Hai ragione anche tu...
Cmq, se ha la licenza di solo standby e nn vede il fw active (è quindi solo) deve cmq andare solo che ogni 24 ore si rivvia...
hai già fatto un bel "wr erase" e messo su una config minima di test?
Cmq, se ha la licenza di solo standby e nn vede il fw active (è quindi solo) deve cmq andare solo che ogni 24 ore si rivvia...
hai già fatto un bel "wr erase" e messo su una config minima di test?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Si,l'ho fatto ma nisba,la cosa che mi fa pensare che sia "bloccato" è che ,cmq, vede i mac address degli host che provo a pingare.....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Scusa mi fai vedere uno "sh run" e "sh ver" del firewall "vergine"?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Codice: Seleziona tutto
PIX Version 6.3(5)
interface ethernet0 auto shutdown
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl_icmp permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
no ip address outside
ip address inside 192.168.1.57 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400
access-group acl_icmp in interface outside
access-group acl_icmp in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
Codice: Seleziona tutto
Cisco PIX Firewall Version 6.3(5)
Compiled on Thu 04-Aug-05 21:40 by morlee
pixfirewall up 1 hour 19 mins
Hardware: PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: ethernet0: address is 0018.ba64.bcb2, irq 10
1: ethernet1: address is 0018.ba64.bcb3, irq 11
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
This PIX has a Failover Only (FO) license.
Serial Number: 810321098 (0x304c84ca)
Running Activation Key: 0x4723d99d 0xe2e08e56 0xb4f1c77a 0xb162cfc6
Configuration last modified by enable_15 at 03:06:10.110 UTC Wed Jan 21 2009
192.168.1.21 ip notebook
192.168.1.1 ip gateway della mia rete
Codice: Seleziona tutto
pixfirewall(config)# ping 192.168.1.21
192.168.1.21 NO response received -- 1000ms
192.168.1.21 NO response received -- 1000ms
192.168.1.21 NO response received -- 1000ms
pixfirewall(config)# sh arp
inside 192.168.1.21 0011.2587.f3e4
Codice: Seleziona tutto
From 192.168.1.21 icmp_seq=45 Destination Host Unreachable
--- 192.168.1.57 ping statistics ---
48 packets transmitted, 0 received, +45 errors, 100% packet loss, time 47150ms, pipe 3
zot@zotnbk:~$ arp
Address HWtype HWaddress Flags Mask Iface
NASBOX.local ether 00:1D:73:19:DC:AC C eth0
192.168.1.57 (incompleto) eth0
192.168.1.1 ether 00:17:E0:72:CF:F4 C eth0
Vedi un pò tu ...ho solo dato l IP alla inside e messo quella ACL per il ping..
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Era capitata una cosa così anche a me, nn andava il ping ma si vedeva l arp.
Il ping da un client verso il pix andava solo se passavi da uno switch l3 (...).
Soluzione: ricaricare la ios 6.3.5
Il ping da un client verso il pix andava solo se passavi da uno switch l3 (...).
Soluzione: ricaricare la ios 6.3.5
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Ancora qui a sbatterci le corna.........ho ricaricato la IOS ma niente da fare da uno sh tech noto che la sezione failover mi riporta:
Preciso che il pix ha una seriale a cui era conesso il PIX primary....A questo punto anche dando una letta in giro su internet ..per i pix in failover su seriale mi sa che nun c'è speranza anche se a me pare strano...molto strano.
Cioè se io avevo i due pix in produzione e mi muore il primary e non ho i soldi per ricomprarlo...che fa va giù la baracca???
C'è quel Cable status: My side not connected che mi insospettisce...devo procurarmi il suo cavo seriale......
Codice: Seleziona tutto
------------------ show failover ------------------
Failover Off
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Cioè se io avevo i due pix in produzione e mi muore il primary e non ho i soldi per ricomprarlo...che fa va giù la baracca???
C'è quel Cable status: My side not connected che mi insospettisce...devo procurarmi il suo cavo seriale......
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sulla ios 6 sinceramente nn ho mai visto questa sitiuazione ma sulla 7\8 succede "semplicemente" che ogni 24 ore il fw si riavvia se nn vede il primary però x il resto funziona senza problemi...Cioè se io avevo i due pix in produzione e mi muore il primary e non ho i soldi per ricomprarlo...che fa va giù la baracca???
Questo sia con il serial che con il lan failover
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....