asa gratuitous arp

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

asa gratuitous arp

#1

#1 Post autor: mihu »

czy jest juz mozliwe wyslanie gratuitous arp z ASY? wiem ze kiedys nie mozna bylo.

bede podmienial niedlugo dwie (HA) i nie chce znow trafic na problem z ARPami, szczegolnie ze nie do wszystkich urzadzen bede mial dostep zeby je wyczyscic w razie czego.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#2

#2 Post autor: drozdov »

Hej

Ostatnio miałem styczność z podobnym problemem - soft 9.x
Asa wysyłała GARP ale tylko z adresu IP przypisanego do interfejsu. Problem był z publicznymi adresami w NAT. Można było odczekać ARP timeout na bramie domyślnej albo przypisać po kolei publiczne adresy IP do interfejsu outside :)

Grzesiek
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#3

#3 Post autor: mihu »

drozdov pisze:Hej

Ostatnio miałem styczność z podobnym problemem - soft 9.x
Asa wysyłała GARP ale tylko z adresu IP przypisanego do interfejsu. Problem był z publicznymi adresami w NAT. Można było odczekać ARP timeout na bramie domyślnej albo przypisać po kolei publiczne adresy IP do interfejsu outside :)

Grzesiek
zawsze jakis workaround, ale to zalezy ile jest tych adresow natowanych i jaki jest service window. Rozumiem, że ciągle nie ma prostego sposobu podmiany ASY (podmiana MACow na stare jest mało elegancka)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#4

#4 Post autor: drozdov »

Może położenie interfejsu bramy domyślnej (odłączenie kabla) rozwiąże problem (tablica ARP zostanie wyczyszczona dla tego interfejsu)?
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#5

#5 Post autor: mihu »

drozdov pisze:Może położenie interfejsu bramy domyślnej (odłączenie kabla) rozwiąże problem (tablica ARP zostanie wyczyszczona dla tego interfejsu)?
w przeszłości raczej kiepsko to działało (kabel i tak będę odłączał jak będę podłączał nową), a ze to nie lab tylko production nie mogę sobie zbytnio pozwolić na eksperymentowanie, wszystko zależy jak długo ISP trzyma tablice ARP, ale jakbym to wiedział i miał dostęp do tego routera to nie byłoby problemu :)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#6

#6 Post autor: drozdov »

Ja miałem case że ASA od strony Internetu była podłączona do przełącznika o, ten przełącznik był podłączony do innego przełącznika i tam gdzieś dalej dopiero było coś co trzymało L3. Więc nawet jak po mojej stronie położyłem interfejs na przełączniku to od strony providera interfejs L3 cały czas był 'up'. Nie zadziałało. Dla tego urządzenia ARP timeout był 4h (gdzieś doczytałem że to wartość default dla Cisco).
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#7

#7 Post autor: mihu »

drozdov pisze:Ja miałem case że ASA od strony Internetu była podłączona do przełącznika o, ten przełącznik był podłączony do innego przełącznika i tam gdzieś dalej dopiero było coś co trzymało L3. Więc nawet jak po mojej stronie położyłem interfejs na przełączniku to od strony providera interfejs L3 cały czas był 'up'. Nie zadziałało. Dla tego urządzenia ARP timeout był 4h (gdzieś doczytałem że to wartość default dla Cisco).
tego się właśnie boję, przerabiałem na własnej skórze, widzę, że będzie trzeba też ustawić się z ISP żeby wyczyścili u siebie... zawsze mogę próbować odłączyć kabel od router providera, ale może być ciężko ze zlokalizowaniem go...
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

defrag
wannabe
wannabe
Posty: 219
Rejestracja: 01 paź 2007, 15:19

Re: asa gratuitous arp

#8

#8 Post autor: defrag »

Wiem, że to stary post, ale ktoś mający ten sam problem może natknąć się na to tak jak ja.
Tematem jest jak to zrobić z ASA i na to odpowiedzi nie mam, ale mając dużo adresów zamiast zmieniać co chwila adres IP przypisany do interfejsu w moim wypadku okazało się prościej podpiąć lapka do tego kabla i skorzystać z arping

Kod: Zaznacz cały

arping -p -s MAC:::ASY -i eth0 -U -S NATOWANY_IP IP_GATEWAYA_OPA
Odłączenie kabla u mnie też nic nie dawało.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: asa gratuitous arp

#9

#9 Post autor: mihu »

defrag pisze:Wiem, że to stary post, ale ktoś mający ten sam problem może natknąć się na to tak jak ja.
Tematem jest jak to zrobić z ASA i na to odpowiedzi nie mam, ale mając dużo adresów zamiast zmieniać co chwila adres IP przypisany do interfejsu w moim wypadku okazało się prościej podpiąć lapka do tego kabla i skorzystać z arping

Kod: Zaznacz cały

arping -p -s MAC:::ASY -i eth0 -U -S NATOWANY_IP IP_GATEWAYA_OPA
Odłączenie kabla u mnie też nic nie dawało.
cześć Defrag,

zgadza się, stary post:). odpowiedź napytanie jak wysłać GARPa jest tu: viewtopic.php?f=44&t=23520
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ