Archiv für den Monat: Dezember 2013

Aruba Alcatel WLAN Controller Passwort resetten

Hat man das Kennwort (für admin oder enable) seines WLAN Controllers vergessen gibt es eine Lösung:
Admin Passwort :

Einloggen auf der Konsole (Remote nicht möglich, man braucht glücklicherweise physikalischen Zugang)

  • “password” als Benutzername und “forgetme!” als Passwort
  • “enable” aufrufen, password ist “enable”
  • “conf t” eingeben (globaler Konfigurationsmodus analog Cisco)
  • “mgmt-user admin root” eingeben, um das Admin Passwort zurückzusetzen

Mit dieser Prozedur wurde gleichzeitig das enable-Passwort auf “enable” zurückgesetzt Daher im Anschluß unbedingt als Admin anmelden und folgende Schritte durchführen, um ein sicheres Enable Passwort zu vergeben:

  • als Admin anmelden
  • “enable” aufrufen, password ist “enable”
  • “conf t” eingeben
  • “enable secret” eingeben, es folgt ein Dialog, in dem ein neues Passwort vergeben werden kann
  • Abschließend “write memory” nicht vergessen !

Beispiel

User: password
Password: forgetme!
(aruba) >enable
Password: enable
(aruba) #configure terminal
Enter Configuration commands, one per line. End with CNTL/Z
(aruba) (config) #mgmt-user admin root
Password:
Re-Type password:
(aruba) (config) #exit
(aruba) #exit
(aruba) >exit

User: admin
Password:
(aruba) >enable
Password: enable
(aruba) #configure terminal
Enter Configuration commands, one per line. End with CNTL/Z
(aruba) (config) #enable secret
Password:
Re-Type password:
(aruba) (config) #write memory

Aruba Alcatel WLAN Controller Passwörter sichtbar machen

Immer wieder kommt man in die Zwickmühle, dass man das, vor Jahren eingerichtete, Kennwort für eine VPN Verbindung oder einen Radiusserver an einem WLAN Controller vergessen hat.

Ist das im kleinen Rahmen nicht so schlimm, mag es in großen Installationen eine Änderung doch viel Aufwand machen.

Zumindestens für PSKs (WPA/Radius/LDAP/IPSEC) gibt es eine Lösung:

SSH zum Controller:


Show run
[..]
aaa authentication-server radius "10.10.10.10"
host "10.10.10.10"
key 58cb239c04c10d531bc452398ce84670
nas-identifier "9999"

jetzt kann man die encryption abschalten:

encryption disable

Danach sieht das ganze anders aus:

aaa authentication-server radius "10.10.10.10"
host "10.10.10.10"
key "switch"
nas-identifier "9999"
!

Kennwörter von Usern sind weiterhin verschlüsselt/gehasht.

mit
encryption enable
schaltet man die Encryption wieder an.

Fortigate: Firewall debuggen und sessions löschen

diag debug flow show console enable
diag debug flow filter addr 
diag debug enable
diag debug flow trace start 100

o.g. zeigt die nächsten 100 Flows wo die Adresse beteiligt ist.

den Filter kann man natürlich auch auf andere Sachen anwenden:

diagnose debug flow filter 
addr      IP address.
clear     Clear filter.
daddr     Destination IP address.
dport     Destination port.
negate    Inverse filter.
port      port
proto     Protocol number.
saddr     Source IP address.
sport     Source port.
vd        Index of virtual domain.

Achtung: Sessions werden gecacht, wenn man also den Aufbau sehen will muss man uU die bestehenden Sessions löschen, auch hier kann man per filter nur bestimmte löschen, statt alle Sessions wegzuschmeissen:
http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&externalId=FD31635

diagnose sys session filter ?
clear      clear session filter
dport      dest port
dst         dest ip address
negate    inverse filter
policy     policy id
proto      protocol number
sport      source port
src         source ip address
vd          index of virtual domain. -1 matches all

z.B.:

diagnose sys session filter src 10.160.0.1  10.160.0.10
diagnose sys session filter dport 80  888
diagnose sys session filter  session filter:
        vd: any
        proto: any
        source ip: 10.160.0.1-10.160.0.10
        dest ip: any
        source port: any
        dest port: 80-888
        policy id: any
        expire: any
        duration: any

mit

diagnose sys session list

sieht man die sessions, die den Filter matchen mit

diagnose sys session clear

löscht man die gematchten Sessions.

ACHTUNG: ohne einen Filter schmeisst ein clear ALLE sessions der FGT weg.

Fortigate: Debug eines bestimmten VPN Tunnels

Wenn man eine gut bestückte Fortigate hat muss man hin und wieder auch mal Fehler suchen.
Z.B. warum kommt ein VPN Tunnel nicht hoch.

Der „einfache“ Weg
diag debug enable
diag debug console
diag debug ike -1

gibt natürlich Daten über alle VPN Verbindungen, was schnell unübersichtlich wird.

Man kann das ganze aber auch beschränken um z.B. nur Daten für eine Gegenstelle oder eine Phase2 zu sehen:

Zur Auswahl stehen:
diag vpn ike log-filter
clear Erase the current filter.
dst-addr4 IPv4 destination address range to filter by.
dst-addr6 IPv6 destination address range to filter by.
dst-port Destination port range to filter by.
interface Interface that IKE connection is negotiated over.
list Display the current filter.
name Phase1 name to filter by.
negate Negate the specified filter parameter.
src-addr4 IPv4 source address range to filter by.
src-addr6 IPv6 source address range to filter by.
src-port Source port range to filter by.
vd Index of virtual domain. -1 matches all.

z.B.

diag vpn ike log-filter dst-addr4 10.10.10.10
diag debug enable
diag debug console
diag debug app ike -1