Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-13 Par sujet Lionel Giraudeau-Bocquet via frnog 
Pour clore le sujet, au cas où ça serve un jour à quelqu'un, ce dont je 
doute mais sait-on jamais :

Dans le chassis il y a un (vieux) switch Broadcom.
Quelqu'un sur cette liste m'a contacté en direct pour me dire que peut 
être ce switch pouvait faire de la capture de paquets.

Réponse : non
Par contre, on peut faire quelque chose qui m'a sauvé : il peut créer 
des VLANs (max 255) et attribuer les ports automatiquement à ceux-ci en 
fonction de ce qu'il a trouvé dans les trames.
J'ai eu de la chance car sur les 4093 VLANs possibles, celui recherché 
était dans le premier lot de 254 (-1 pour le '1' déjà existant).


La suite va être plus simple : à l'arrière du chassis il y a deux port 
ethernet. Un est utilisé actuellement, l'autre non.
Je vais ajouter ce second port au VLAN découvert, trouver quelqu'un pour 
venir mettre un câble entre celui ci et le cisco, refaire le vlan côté 
Cisco en intégrant une machine (à deux pattes) qui fait DHCP et ça 
devrait tomber en marche.


Merci tout de même pour vos réponses, elles m'ont au moins évité de 
chercher à faire des choses impossibles !


Lionel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet Jérôme Berthier via frnog 

Le 12/03/2024 à 10:53, Lionel Giraudeau-Bocquet via frnog a écrit :
- trouver le moyen de récupérer le numéro du vlan en provenance de la 
MAC de la carte IPMI (et je suis certain que le switch a l'info 
quelque part, je ne sais juste pas comment lui faire cracher le morceau) 


Utiliser la fonction "Packet capture" intégrée au switch 3650 ?

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3650/software/release/37e/consolidated_guide/b_37e_consolidated_3650_cg/b_37e_consolidated_3650_cg_chapter_0110001.html

--
Jérôme Berthier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet David Ponzone 


> Le 12 mars 2024 à 15:26, Thierry Chich  a écrit 
> :
> 
> 
>> - peut-on faire une règle sur le port 11 qui dit que tout paquet qui arrive 
>> de cette MAC se voit attribuer le vlan 1
> Ben soit je comprends pas, soit c'est access vlan 1, mais c'est à coté du 
> sujet.
>> - tout paquet à destination de la MAC se voit attribuer le vlan XXX
> Ca peut se faire sur le switch grace aux systèmes mac-vlan , mais ça me 
> semble être un contresens. Ton problème, c'est qu'un paquet est émis depuis 
> ton ipmi avec un id de vlan 802.1Q, et tu ne peux rien y faire, par 
> définition. Ce qu'il faudrait, c'est un système qui détaggue automatiquement 
> ton paquet, mais ça, je ne vois pas comment le faire simplement.
>> 


Oui, détagger un VLAN inconnu, ça va être compliqué.
Par contre, tu peux faire un dot1q-tunnel pour mettre le paquet dans un outer 
VLAN X de ton choix, et donc le ressortir sur le port de ton choix (qui doit 
être en access untag X).
Je sais pas si ça peut aider mais on sait jamais.

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet Thierry Chich 

Bonjour

Le 12/03/2024 à 10:53, Lionel Giraudeau-Bocquet via frnog a écrit :

Bonjour à tous,

Membre de FDN j'ai déjà posé cette question sur une liste sympa 
interne et il m'a été conseillé de venir poser ma question ici (merci 
tout de même !).


Voici le problème que je n'arrive pas à résoudre :
J'ai récupéré plusieurs lames (ayant une carte IPMI qui est intégrée à 
la carte mère) qui ont été installées dans un chassis avec d'autres 
que j'avais déjà.
Le panneau de contrôle du châssis me permet de faire des power on/off 
et récupérer les adresses MAC des cartes Ethernet et IPMI.
J'ai mis du temps à comprendre pourquoi les cartes IPMI ne demandaient 
pas d'adresse au serveur DHCP sur le réseau : ces cartes ont été 
configurées avec une adresse IP fixe dans un VLAN au pif (== que je ne 
connais pas)

Elles ne causent donc pas avec le vlan natif Cisco (vlan 1).

Je m'en suis sorti, à distance et avec de la chance, car les lames 
tentent de booter en PXE avant d'essayer leur disque. J'ai donc 
configurer le serveur PXE pour leur envoyer une image de dépannage sur 
laquelle elles ont booté et j'ai pu faire un "ipmitool lan set 1 vlan 
id off". Dans la seconde les cartes IPMI obtiennent leur adresse IP.


Belle histoire, mais ce n'est pas fini : l'une des lames ne parvient 
pas à démarrer (soit elle boot sur son disque interne automatiquement 
et se retrouve donc avec une adresse IP fixe que je ne connais pas, 
soit elle joue aux dames, soit elle est coincée au boot dans le Bios 
ou autre, soit la carte mère est tout simplement morte ).
Pour parvenir à savoir ce qu'il se passe je suis obligé de passer par 
la carte IPMI (pas de port pour brancher un écran et encore moins un 
clavier).


La lame est connectée (via le switch du chassis qui ne fait que 
transmettre les paquets sans toucher aux ID vlan) au port Gi1/0/11 
d'un Cisco, et le serveur DHCP sur le port Gi1/0/6.
Les ports Gi1/0/[1-20] et Gi1/1/[1-24] (c'est une stack de deux 
switchs) sont dans le vlan 1, les 4 derniers du premier switch 
(Gi1/0/[21-24]) sont dans le vlan 2. Les deux vlans ne communiquent 
pas, il y a juste une machine qui a une patte sur ce vlan 1 privé et 
l'autre sur un réseau auquel j'ai accès à distance.


Dans un monde idéal, je cherche à ce que, temporairement, carte IPMI 
et serveur DHCP se causent pour que la première ait une adresse IP et 
que du deuxième je parvienne à lancer un ipmitool (je connais user et 
mot de passe) pour virer ce vlan dont je ne connais pas le numéro.


Je vois ça "simplement" comme ça :
- trouver le moyen de récupérer le numéro du vlan en provenance de la 
MAC de la carte IPMI (et je suis certain que le switch a l'info 
quelque part, je ne sais juste pas comment lui faire cracher le morceau)


Comme cela a été dit, le plus simple, c'est d'écouter sur le port avec 
le bon vieux tcpdump -e. Soit directement - mais là tu ne peux pas 
visiblement, soit en utilisant du port monitorirng pour renvoyer tout ce 
qui est émis sur le port sur lequel le ipmi est branché vers un autre 
port (là où tu as un serveur pour écouter).


- peut-on faire une règle sur le port 11 qui dit que tout paquet qui 
arrive de cette MAC se voit attribuer le vlan 1
Ben soit je comprends pas, soit c'est access vlan 1, mais c'est à coté 
du sujet.

- tout paquet à destination de la MAC se voit attribuer le vlan XXX
Ca peut se faire sur le switch grace aux systèmes mac-vlan , mais ça me 
semble être un contresens. Ton problème, c'est qu'un paquet est émis 
depuis ton ipmi avec un id de vlan 802.1Q, et tu ne peux rien y faire, 
par définition. Ce qu'il faudrait, c'est un système qui détaggue 
automatiquement ton paquet, mais ça, je ne vois pas comment le faire 
simplement.



p://www.frnog.org/

--

Thierry





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet David Ponzone 
Ok mais elles ont pas la même MAC les lames donc tu peux séparer dans Wireshark.
Après, si tu as pas les MAC des lames, ça devient compliqué :)
Et à distance en plus!

David

> Le 12 mars 2024 à 11:30, Lionel Giraudeau-Bocquet  a 
> écrit :
> 
>> J’ai raté un truc peut-être, j’ai lu en diagonale, mais pourquoi tu mets pas 
>> un Wireshark à la sortie de la carte pour voir ce qu’elle raconte (IP, vlan, 
>> etc…) ?
> 
> Le 12/03/2024 à 11:24, David Ponzone a écrit :
> C'est une lame dans un chassis. Il n'y a qu'un seul port Ethernet sur ce 
> dernier et les autres lames sont utilisées.
> Mais oui, si j'avais facilement accès au matériel (parce qu'en plus tout ça 
> se passe loin de chez moi) ça serait envisageable.
> Maintenant ça me donne une idée, car dans le chassis il y a un switch 
> Broadcom qu'on peut interroger. Peut-être que lui a plus d'infos sur ce 
> fameux Vlan ... Je vais creuser.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet Lionel Giraudeau-Bocquet via frnog 

J’ai raté un truc peut-être, j’ai lu en diagonale, mais pourquoi tu mets pas un 
Wireshark à la sortie de la carte pour voir ce qu’elle raconte (IP, vlan, etc…) 
?



Le 12/03/2024 à 11:24, David Ponzone a écrit :
C'est une lame dans un chassis. Il n'y a qu'un seul port Ethernet sur ce 
dernier et les autres lames sont utilisées.
Mais oui, si j'avais facilement accès au matériel (parce qu'en plus tout 
ça se passe loin de chez moi) ça serait envisageable.
Maintenant ça me donne une idée, car dans le chassis il y a un switch 
Broadcom qu'on peut interroger. Peut-être que lui a plus d'infos sur ce 
fameux Vlan ... Je vais creuser.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet Lionel Giraudeau-Bocquet via frnog 

Le 12/03/2024 à 10:53, Lionel Giraudeau-Bocquet via frnog a écrit :

Bonjour à tous,

...
Dans un monde idéal, je cherche à ce que, temporairement, carte IPMI 
et serveur DHCP se causent pour que la première ait une adresse IP et 
que du deuxième je parvienne à lancer un ipmitool (je connais user et 
mot de passe) pour virer ce vlan dont je ne connais pas le numéro.


Je vois ça "simplement" comme ça :
- trouver le moyen de récupérer le numéro du vlan en provenance de la 
MAC de la carte IPMI (et je suis certain que le switch a l'info 
quelque part, je ne sais juste pas comment lui faire cracher le morceau)


Sur le port Gi1/0/11 tu met un vlan isolé que tu propage jusqu'à ta 
machine qui a 2 pattes, tu fais un tcpdump sur ce vlan avec -e pour 
qu'il te montre le vlan utilisé par la lame lorsqu'elle fera ces 
requêtes DHCP.
-e c'est pour montrer le détail du layer 2 et notamment les vlan 
utilisés (même si le 1er vlan est encapsulé dans un 2ème (q-in-q)).



- peut-on faire une règle sur le port 11 qui dit que tout paquet qui 
arrive de cette MAC se voit attribuer le vlan 1

- tout paquet à destination de la MAC se voit attribuer le vlan XXX


Je ne connais pas de matériel qui sait faire ça.


Jérôme



Le 12/03/2024 à 11:20, Jérôme Marteaux a écrit :

Ca rejoint ce qu'écrivait Dominique "Domi" Rousseau sur Bistro@FDN.
J'ai moyen d'avoir une autre machine que je pourrais passer sur ce 
fameux VLAN mystère, donc je vais faire ça (en espérant qu'à la fin tout 
ce bruit ait servi à quelque chose).


Merci beaucoup,
Lionel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet David Ponzone 
J’ai raté un truc peut-être, j’ai lu en diagonale, mais pourquoi tu mets pas un 
Wireshark à la sortie de la carte pour voir ce qu’elle raconte (IP, vlan, etc…) 
?

> Le 12 mars 2024 à 10:53, Lionel Giraudeau-Bocquet via frnog  
> a écrit :
> 
> Bonjour à tous,
> 
> Membre de FDN j'ai déjà posé cette question sur une liste sympa interne et il 
> m'a été conseillé de venir poser ma question ici (merci tout de même !).
> 
> Voici le problème que je n'arrive pas à résoudre :
> J'ai récupéré plusieurs lames (ayant une carte IPMI qui est intégrée à la 
> carte mère) qui ont été installées dans un chassis avec d'autres que j'avais 
> déjà.
> Le panneau de contrôle du châssis me permet de faire des power on/off et 
> récupérer les adresses MAC des cartes Ethernet et IPMI.
> J'ai mis du temps à comprendre pourquoi les cartes IPMI ne demandaient pas 
> d'adresse au serveur DHCP sur le réseau : ces cartes ont été configurées avec 
> une adresse IP fixe dans un VLAN au pif (== que je ne connais pas)
> Elles ne causent donc pas avec le vlan natif Cisco (vlan 1).
> 
> Je m'en suis sorti, à distance et avec de la chance, car les lames tentent de 
> booter en PXE avant d'essayer leur disque. J'ai donc configurer le serveur 
> PXE pour leur envoyer une image de dépannage sur laquelle elles ont booté et 
> j'ai pu faire un "ipmitool lan set 1 vlan id off". Dans la seconde les cartes 
> IPMI obtiennent leur adresse IP.
> 
> Belle histoire, mais ce n'est pas fini : l'une des lames ne parvient pas à 
> démarrer (soit elle boot sur son disque interne automatiquement et se 
> retrouve donc avec une adresse IP fixe que je ne connais pas, soit elle joue 
> aux dames, soit elle est coincée au boot dans le Bios ou autre, soit la carte 
> mère est tout simplement morte ).
> Pour parvenir à savoir ce qu'il se passe je suis obligé de passer par la 
> carte IPMI (pas de port pour brancher un écran et encore moins un clavier).
> 
> La lame est connectée (via le switch du chassis qui ne fait que transmettre 
> les paquets sans toucher aux ID vlan) au port Gi1/0/11 d'un Cisco, et le 
> serveur DHCP sur le port Gi1/0/6.
> Les ports Gi1/0/[1-20] et Gi1/1/[1-24] (c'est une stack de deux switchs) sont 
> dans le vlan 1, les 4 derniers du premier switch (Gi1/0/[21-24]) sont dans le 
> vlan 2. Les deux vlans ne communiquent pas, il y a juste une machine qui a 
> une patte sur ce vlan 1 privé et l'autre sur un réseau auquel j'ai accès à 
> distance.
> 
> Dans un monde idéal, je cherche à ce que, temporairement, carte IPMI et 
> serveur DHCP se causent pour que la première ait une adresse IP et que du 
> deuxième je parvienne à lancer un ipmitool (je connais user et mot de passe) 
> pour virer ce vlan dont je ne connais pas le numéro.
> 
> Je vois ça "simplement" comme ça :
> - trouver le moyen de récupérer le numéro du vlan en provenance de la MAC de 
> la carte IPMI (et je suis certain que le switch a l'info quelque part, je ne 
> sais juste pas comment lui faire cracher le morceau)
> - peut-on faire une règle sur le port 11 qui dit que tout paquet qui arrive 
> de cette MAC se voit attribuer le vlan 1
> - tout paquet à destination de la MAC se voit attribuer le vlan XXX
> 
> => une fois les échanges DHCP faits, je peux passer la commande ipmitool qui 
> va bien
> 
> - on remet la config du Cisco dans son état initiale
> 
> 
> Mais comment faire tout ça ?
> Si quelqu'un a des idées je suis tout ouï !
> (voir même toutes les commandes à passer, parce qu'à part des shut/no shut 
> sur des interfaces, je ne connais pas grand chose d'autre ...)
> 
> Un peu d'info de version, au cas où :
> 2 * cisco WS-C3650-24TD
> Même version :
> Cisco IOS Software, IOS-XE Software, Catalyst L3 Switch Software 
> (CAT3K_CAA-UNIVERSALK9-M), Version 03.07.03E RELEASE SOFTWARE (fc3)
> 
> Merci d'avance à vous,
> Lionel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration VPN sur Cisco

2024-03-12 Par sujet Jérôme Marteaux 

Le 12/03/2024 à 10:53, Lionel Giraudeau-Bocquet via frnog a écrit :

Bonjour à tous,

Membre de FDN j'ai déjà posé cette question sur une liste sympa interne 
et il m'a été conseillé de venir poser ma question ici (merci tout de 
même !).


Voici le problème que je n'arrive pas à résoudre :
J'ai récupéré plusieurs lames (ayant une carte IPMI qui est intégrée à 
la carte mère) qui ont été installées dans un chassis avec d'autres que 
j'avais déjà.
Le panneau de contrôle du châssis me permet de faire des power on/off et 
récupérer les adresses MAC des cartes Ethernet et IPMI.
J'ai mis du temps à comprendre pourquoi les cartes IPMI ne demandaient 
pas d'adresse au serveur DHCP sur le réseau : ces cartes ont été 
configurées avec une adresse IP fixe dans un VLAN au pif (== que je ne 
connais pas)

Elles ne causent donc pas avec le vlan natif Cisco (vlan 1).

Je m'en suis sorti, à distance et avec de la chance, car les lames 
tentent de booter en PXE avant d'essayer leur disque. J'ai donc 
configurer le serveur PXE pour leur envoyer une image de dépannage sur 
laquelle elles ont booté et j'ai pu faire un "ipmitool lan set 1 vlan id 
off". Dans la seconde les cartes IPMI obtiennent leur adresse IP.


Belle histoire, mais ce n'est pas fini : l'une des lames ne parvient pas 
à démarrer (soit elle boot sur son disque interne automatiquement et se 
retrouve donc avec une adresse IP fixe que je ne connais pas, soit elle 
joue aux dames, soit elle est coincée au boot dans le Bios ou autre, 
soit la carte mère est tout simplement morte ).
Pour parvenir à savoir ce qu'il se passe je suis obligé de passer par la 
carte IPMI (pas de port pour brancher un écran et encore moins un clavier).


La lame est connectée (via le switch du chassis qui ne fait que 
transmettre les paquets sans toucher aux ID vlan) au port Gi1/0/11 d'un 
Cisco, et le serveur DHCP sur le port Gi1/0/6.
Les ports Gi1/0/[1-20] et Gi1/1/[1-24] (c'est une stack de deux switchs) 
sont dans le vlan 1, les 4 derniers du premier switch (Gi1/0/[21-24]) 
sont dans le vlan 2. Les deux vlans ne communiquent pas, il y a juste 
une machine qui a une patte sur ce vlan 1 privé et l'autre sur un réseau 
auquel j'ai accès à distance.


Dans un monde idéal, je cherche à ce que, temporairement, carte IPMI et 
serveur DHCP se causent pour que la première ait une adresse IP et que 
du deuxième je parvienne à lancer un ipmitool (je connais user et mot de 
passe) pour virer ce vlan dont je ne connais pas le numéro.


Je vois ça "simplement" comme ça :
- trouver le moyen de récupérer le numéro du vlan en provenance de la 
MAC de la carte IPMI (et je suis certain que le switch a l'info quelque 
part, je ne sais juste pas comment lui faire cracher le morceau)


Sur le port Gi1/0/11 tu met un vlan isolé que tu propage jusqu'à ta 
machine qui a 2 pattes, tu fais un tcpdump sur ce vlan avec -e pour 
qu'il te montre le vlan utilisé par la lame lorsqu'elle fera ces 
requêtes DHCP.
-e c'est pour montrer le détail du layer 2 et notamment les vlan 
utilisés (même si le 1er vlan est encapsulé dans un 2ème (q-in-q)).



- peut-on faire une règle sur le port 11 qui dit que tout paquet qui 
arrive de cette MAC se voit attribuer le vlan 1

- tout paquet à destination de la MAC se voit attribuer le vlan XXX


Je ne connais pas de matériel qui sait faire ça.


Jérôme

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/