把ASA配置为单臂VPN接入点

目标

把ASA设置为一个VPN接入点,挂在现有的网关路由器下面,让AnyConnect连入的客户端能够正常访问本地内网和公网。防火墙设为全部放通。

示例中使用以下配置:

  • 现有的内网:10.0.0.0/24
  • 网关:10.0.0.1
  • ASA:10.0.0.2
  • AnyConnect客户端地址池:10.0.253.0/24, fd00::/64

继续阅读

把ZFS根文件系统的Proxmox VE迁移到另一组硬盘上

任务简述

现在我们有一台Proxmox VE 6.0的服务器,原来是四块SSD组的ZFS mirror,因为各种原因需要把数据迁移到另两块SSD组的新ZFS mirror上,把原来的四块SSD释放出来挪作他用。因为跨国操作IPMI延迟很高,所以我们要尽量避免操作IPMI,尽量通过SSH完成整个迁移流程。

继续阅读

RouterOS自动删除动态生成的VPN Server端口

RouterOS即使手工添加了VPN server的用户binding interface,也有可能出现连接被切断导致的原来的端口还没掉线,新的VPN连接已经进来了的情况,这时候系统里面就会多出一个动态的VPN server端口,一些针对端口的设定就有可能失效。这个脚本配合定时器自动删除动态生成的VPN server binding端口。

 

 

RouterOS在多个上游情况下正确设置返回包的默认路由

应用场景:

一:RouterOS接了多个上游,都是静态IP并且有NAT(masquerade)配置。默认情况下,如果在非默认路由的上游IP上开了端口转发到内网,内网设备返回包的时候会直接从默认路由出去,从而要么被路由器的reverse path filter丢掉,要么在出口处被masquerade从而导致对面收到的包源IP错误而丢包。下面简述一个方法,让返回包从正确的出口返回。

二:用VRF接了管理网,想从VRF访问本机的WinBox或者SSH。数据包是能从VRF网络正确到达本机的;但是从本机返回包时,默认只会查main路由表。你当然可以简单地把VRF网的路由或静态或动态leak进main,但是这样就失去了隔离管理网的功能。因此,我们可以用类似的方法来实现通过VRF访问本机。 继续阅读

RouterOS定时自动更新到最新版本

注意:

  • RouterOS的更新过程并不靠谱,请自行斟酌;我只建议在long-term通道上使用自动更新
  • 请预先设定好更新通道,脚本不会修改这一设置