S2S VPN Juniper ScreenOS - Cisco Router w VTI

IPsec Site-to-Site VPN Juniper ScreenOS <-> Cisco Router w/ VTI

And finally: A route-based VPN between a Juniper ScreenOS SSG firewall and a Cisco router with a virtual tunnel interface (VTI). Both sides with tunnel interfaces and IPv4 addresses. Both sides with a real routing entry in the routing table. Great. ;)

(The VPN between those two parties without a tunnel interface on the Cisco router is documented here. However, use the route-based VPN where you can. It is easier and more flexible. Routing decisions based on the routing table. This is how it should be.)

Continue reading

S2S VPN Palo Alto - Cisco Router w VTI

IPsec Site-to-Site VPN Palo Alto <-> Cisco Router w/ VTI

One more VPN article. Even one more between a Palo Alto firewall and a Cisco router. But this time I am using a virtual tunnel interface (VTI) on the Cisco router which makes the whole VPN set a “route-based VPN”. That is: Both devices decide their traffic flow merely based on the routing table and not on access-list entries. In my opinion, this is the best way to build VPNs, because there is a single instance (the routing table) on which a network admin must rely on in order to investigate the traffic flow.

Note that I also wrote a blog post about the “policy-based VPN” between a Cisco router and the Palo Alto firewall. This here is mostly the same on the Palo Alto side while some other commands are issued on the Cisco router.

Continue reading

Juniper NSM: Exclamation Mark due to Attack Database Version Mismatch

Short and very specific notice: How to remove the exclamation marks on the Juniper NSM device list for firewalls that have an outdated attack database version. This happens if the license for the deep inspection expires and the device still has an old sigpack version. Since the NSM later on has newer ones, it marks the firewall with a yellow symbol. To have a consistent “green” view of all firewalls, the following steps can be done to remove the exclamation mark.

Continue reading

P1260955 Ins Rohr

Portable Autofanfare

Was haben eine Weltmeisterschaft und eine Hochzeit gemeinsam? Nach wenigen Minuten im Autokorso ist die Stadiontröte leer!

Da ich lautstärketechnisch immer gerne vorne mitspiele, hatte ich in den letzten Jahren die ein oder andere “klassische” Stadiontröte, also eine Hupe, welche mit einer kleinen Druckluftflasche angetrieben wird. Mein Problem dabei war aber stets: Entweder, ich hatte ein paar Minuten großen Spaß und dann war aus, oder ich musste immerzu auf eine gleichmäßige Nutzung achten, damit auch nach 20 Minuten noch Gas vorhanden war. Eine Alternative musste her!

Also habe ich mir eine 2-Klang Auto-Fanfare inkl. Kompressor bei eBay gekauft. Beim Autoschrotthändler gabs für kleines Geld eine alte aber funktionstüchtige Autobatterie. Somit habe ich nun eine schier unendlich trötende Hupe, deren Lautstärke echt überzeugt! :)

Continue reading

S2S VPN Cisco Router - FritzBox

IPsec Site-to-Site VPN Cisco Router <-> AVM FRITZ!Box

Der Titel sagt eigentlich schon alles: Es geht um das Herstellen eines S2S-Tunnels zwischen einem Cisco Router (statische IPv4) und einer FRITZ!Box (dynamische IP). Ich liste nachfolgend alle Befehle für den IOS Router sowie die Konfigurationsdatei für die FRITZ!Box auf. Für eine etwas detaillierte Beschreibung des VPNs für die FRITZ!Box verweise ich auf diesen Artikel von mir, bei dem ich zwar ein VPN zu einem anderen Produkt hergestellt habe, aber etwas mehr auf die Schritte der Konfiguration eingegangen bin.

Continue reading

S2S VPN Juniper ScreenOS - Cisco Router

IPsec Site-to-Site VPN Juniper ScreenOS <-> Cisco Router

Similar to all my other site-to-site VPN articles, here are the configurations for a VPN tunnel between a Juniper ScreenOS SSG firewall and a Cisco IOS router. Due to the VPN Monitor of the SSG firewall, the tunnel is established directly after the configuration and stays active all the time without the need of “real” traffic.

I am using the policy-based VPN solution on the Cisco router and not the virtual tunnel interface (VTI) approach. That is: No route is needed on the router while the Proxy IDs must be set on the Juniper firewall. (However, I also documented the route-based VPN solution between a ScreenOS firewall and a Cisco router here.)

Continue reading

S2S VPN Palo Alto - Cisco Router

IPsec Site-to-Site VPN Palo Alto <-> Cisco Router

This time I configured a static S2S VPN between a Palo Alto firewall and a Cisco IOS router. Here comes the tutorial:

I am not using a virtual interface (VTI) on the Cisco router in this scenario, but the classical policy-based VPN solution. That is, no route entry is needed on the Cisco machine. However, the Palo Alto implements all VPNs with tunnel interfaces. Hence, a route to the tunnel and Proxy IDs must be configured. (I also wrote a step-by-step guide for a route-based VPN between a Cisco router and a Palo Alto firewall here.)

Continue reading

VirtualRadar-Screenshot

Eigener Virtual Radar Server (wie Flightradar)

Nach meiner Einführung in den Empfang von Flugzeug-Signalen per günstigem DVB-T Stick (ADS-B, siehe hier) kommt nun das Projekt schlechthin: Ein eigener “Flightradar24″ Server, der auf einer Google Maps Karte die Flugzeuge darstellt, die man selber empfängt. Zugegebenermaßen habe ich mit dem eigentlichen Projekt und der Programmierung des Virtual Radar Servers nichts zu tun, finde die Möglichkeiten durch diesen Server aber genial. Ich schreibe hier eine Anleitung für die komplette Installation und Inbetriebnahme des Servers, inklusive einiger Detaileinstellungen. Mein Server selber ist öffentlich verfügbar und läuft unter http://planes.webernetz.net/virtualradar.

Continue reading

Ping-Zeiten der FRITZ!Box unter (Netzwerk-) Last

Hier kommen zwei interessante Graphen von der AVM FRITZ!Box, welche mit einem gängigen DSL-Anschluss im Internet hängt:

  1. Traffic in Richtung Internet mit einem Peak beim Upload
  2. Ping-Antwortzeiten des internen Interfaces mit einem noch viel höherem Peak während des Uploads

Continue reading

Wireless LAN – A Shared Medium

I discovered a few interesting peaks on the WLAN card of my Raspberry Pi on the “received” values. (I am using my MRTG/Routers2 installation for querying the network statistics via SNMP.) Since the use case for my Pi is only the temperature sensor which is queried over SNMP, too, I found the following network graph a bit confusing since the “incoming traffic” should be on the same level all the time:

RPi WLAN - Higher Traffic if other WLAN clients are online

Continue reading