MYOEY

Es geht hier nur um reine Redundanz. Ziel ist der Server1 redundant angebunden sein, sodass im Fall dass einer der beiden Switche ausfällt, bleibt über den anderen erreichbar und zwar nur intern! Wie kann ich den Server optimal und redundant an den beiden Switchen anbinden? DIe beiden NICs müssen im gleichen IP Range bzw. gleichen VLAN bleiben! Gruß

Danke für deine Antwort! die beiden Switche1+2 sind reine L2 Switche und der Core ist quasi der Router! Wie kann man am besten das auf dem Core-Switch mit Loadbalancing über beide Verbindungen konfigurieren?

Aus Redundanzgründen habe ich folgendes vor: Server1 NIC1: 10.20.1.4/24 NIC2: 10.20.1.5/24 -Der Server1 ist mi dem Switch1 über NIC1 und mit dem Switch2 über NIC2 verbunden. -Switche1 und Switch2 sind mit einem Core-Switch verbunden. Sodass der Server über beiden Adressen bzw. über beiden Switchen erreichbar ist. Würde das problmlos gehen? Schöne Grüße

Viiiiiiielen Dank ... mit der Zeilen funktioniert es jetzt :-)

Hallo zusammen, Ein Cisco VPN Client verbindet sich übers Internet mit der PIX515 und bekommt eine IP Adresse(192.168.192.191) zugewiesen und versucht einen Server(10.10.20.77 ) im LAN hinter der Firewall anzupingen aber leider ohne Erfolg! aber wenn dieser Server die IP des Clients(192.168.192.191) anpingt, bekommt sofot eine Antwort!!! d. h. der Server kann den Client anpingen und umgekehrt nicht! Syslog sagt: %PIX-6-609001: Built local-host outside:192.168.192.191 %PIX-6-609001: Built local-host inside:10.10.20.77 %PIX-3-305005: No translation group found for icmp src outside:192.168.192.191 dst inside:10.10.20.77 (type 8, code 0) %PIX-6-609002: Teardown local-host outside:192.168.192.191 duration 0:00:00 %PIX-6-609002: Teardown local-host inside:10.10.20.77 duration 0:00:00 Die Konfiguration der PIX: PIX515# sho run : Saved : PIX Version 7.0(1) names ! interface Ethernet0 speed 100 duplex full nameif outside security-level 0 ip address x.x.x.x 255.255.255.224 ! interface Ethernet1 speed 100 duplex full nameif inside security-level 100 ip address 10.10.10.1 255.255.255.252 ! enable password TgrUZCH.nAUBBG5iSgLW encrypted passwd TgrUC.nAUB5TfgiSgLW encrypted hostname PIX515 ftp mode passive access-list inside extended permit ip any any access-list outside extended permit tcp any any eq ssh access-list outside extended permit icmp any any access-list 100 extended permit ip any 192.168.192.0 255.255.255.0 pager lines 24 logging enable logging buffered debugging logging trap debugging mtu outside 1500 mtu inside 1500 ip local pool Clients-Pool 192.168.192.191-192.168.192.254 no failover monitor-interface outside monitor-interface inside icmp permit any outside icmp permit any inside no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 access-group outside in interface outside access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 route inside 172.16.0.0 255.255.255.0 10.10.10.2 1 route inside 10.10.20.0 255.255.255.0 10.10.10.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute group-policy client-group internal group-policy client-group attributes vpn-idle-timeout 30 username admin password 3USUcOPFUiMCO4Jk encrypted privilege 15 aaa authentication ssh console LOCAL crypto ipsec transform-set vpntransport esp-3des esp-md5-hmac crypto dynamic-map outside_dyn_map 10 match address 100 crypto dynamic-map outside_dyn_map 10 set transform-set vpntransport crypto map outside_map 65 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside isakmp identity address isakmp enable outside isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp nat-traversal 30 telnet 192.168.192.0 255.255.255.0 inside telnet timeout 5 ssh x.x.x.x 255.255.255.0 outside ssh timeout 60 console timeout 0 tunnel-group client-group type ipsec-ra tunnel-group client-group general-attributes address-pool Clients-Pool default-group-policy client-group tunnel-group client-group ipsec-attributes pre-shared-key * ! class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect http ! service-policy global_policy global : end Was fehlt eigentlich noch? habe ich da was übersehen?? Dane im voraus! Gruß

Moin Moin, Kann man mit der folgenden Meldung eines Cisco Catalyst4006 Switches was anfangen: Aug 26 11:01:36: %C4K_PKTPROCESSING-4-UNKNOWNBRIDGEORROUTE: (Suppressed 7 times)Unable to determine whether to route or bridge replicated software-processed packet with source address 00:E0:81:41:24:0A and destination address 00:00:0C:07:AC:01 Was bedeutet das eigentlich? Danke im voraus! Gruß

ja der Client 192.168.131.237 streamt und der host x.x.x.34 greift diesen Stream übers Internet ab! und die Verbindung bricht immer wieder ab! Mir gehts nur darum festzustellen, von wo aus die connection abgebaut wird! Aber die Frage ist ob man Anhand der beiden Syslogzeilen der PIX erkennen könnte, von welche Seite die Verbindung abgebaut wird? oder wie kann ich das am besten überwachen bzw. feststellen? Gruß

Keine Idee oder Tipp???

Hallo, aus dem Syslog(PIX) sind die beiden Zeilen einer Kommunikation zwischen 192.168.131.237 und x.x.x.34 Die Verbindung wird von der Outside(x.x.x.34) iniziirt und bricht immer wieder in unregelmässigen Abständen ab! 2007-08-14 18:39:25 Local4.Info 192.168.135.3 %PIX-6-302013: Built inbound TCP connection 8638521 for outside1:x.x.x.34/28932 (x.x.x.34/28932) to inside:192.168.131.237/554 (y.y.y.y/554) 2007-08-14 18:39:35 Local4.Info 192.168.135.3 %PIX-6-302014: Teardown TCP connection 8638521 for outside1:x.x.x.34/28932 to inside:192.168.131.237/554 duration 0:00:10 bytes 259 TCP FINs wie kann man erkennen ob die Verbindung von innen oder von außen abgebrochen wird? Kann man das anhand der Syslogzeilen irgendwie erkennen? Danke! Gruß

Danke für die Antwort aber da komme ich leider nicht weiter! sobald ich auf den Link klicke, werde ich aufgefordert, mich anzumelden!!

wenn die Zugangsdaten soweit richtig sind, reicht dir folgende commands: interface Vlan1 nameif outside security-level 0 ip address pppoe setroute Falls es immer noch nicht funktioniert, poste bitte dein config! Gruss

hallo, hat jemand vielleicht ein config Example für Multicast over a IPSec Tunnel zwischen zwei ASAs bzw PIXs version7.x? Gruß

Danke für die Antwort! Du hörst dich so an als du was konkretes hast :) ja, würde ich gerne aber wie soll es bitte gehen? Hast du vielleicht ein Config Example wie man den Multicast dur den GRE-Tunnel zwischen zwei ASAs fliessen lässt? Gruß

Hallo, die Kommunikation läuft soweit bis auf streaming! [Multicast receiver]-----[ASA5505]-------(Internet)------[ASA5505]-----[Multicast Server] welche commands auf der ASA(Clientseite) sowohl auch auf der ASA(Serverseite) sind da notwendig damit der Client den Stream vom Multicast-Server abgreifen kann? hat man da vielleicht ein config Example? Danke im voruas Gruß

Hallo, kann man 4-SDSL-Leitungen(je 2MBits) von T-Com zur einer 8MBits-Leitung bündeln? Falls ja, welcher Cisco Router lässt sich für die 4-SDSL-Leitungen empfehlen? Da es je Leitung eine feste-IP hat, sind dann die eingehende Daten über nur eine Leitung oder gibt es da eine Möglichkeit die 4IPs zur einer einheitlichen IP Adresse? Hat man damit vielleicht schon mal Erfahrungen? Dnake & Gruß

Kann sein, dass Windows Vista den Cisco VPN Client nicht unterstützt? hat jemand schon mal Cisco VPN Client unter Windows Vista erfolgreich installiert? Fallls ja welche Version denn? Gruß

Danke czappb :-) nun läuft's... es lag eindeutig an das statische NAT! statt die "IP Adresse" einfach "interface" eingetragen, wie du beschrieben hast, und schon lief es... nun sieht die Zeile so aus: static (inside,outside) tcp interface 4444 192.168.1.1 4444 netmask 255.255.255.255 Vielen Dank noch mal Gruß

Es handelt sich um einen DSL-Anschluss mit feste-IP! config: ASA5505# sho run : Saved : ASA Version 7.2(2) ! hostname ASA5505 domain-name default.domain.invalid enable password BSlcyjpPoLLK1gk7VHE encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.1.254 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address pppoe setroute ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd BSlcyjpLK1gk7VHE encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain access-list outside_access_in extended permit udp any interface outside eq 4444 pager lines 24 logging enable logging standby logging buffered debugging logging trap debugging logging asdm informational logging host inside 192.168.1.10 mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any outside asdm image disk0:/asdm-522.bin asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) udp X.X.X.X 4444 192.168.1.1 4444 netmask 255.255.255.255 access-group inside_access_in in interface inside access-group outside_access_in in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa authentication ssh console LOCAL aaa authentication enable console LOCAL aaa authorization command LOCAL aaa local authentication attempts max-fail 5 http server enable http 192.168.1.10 255.255.255.255 inside http 192.168.1.0 255.255.255.0 inside http 0.0.0.0 0.0.0.0 outside no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps snmp authentication linkup linkdown coldstart sysopt noproxyarp inside sysopt noproxyarp outside telnet 192.168.1.10 255.255.255.255 inside telnet timeout 5 ssh timeout 60 console timeout 0 vpdn group pppoe_group request dialout pppoe vpdn group pppoe_group localname ****************@t-online-com.de vpdn group pppoe_group ppp authentication chap vpdn username **************@t-online-com.de password ************ dhcpd ping_timeout 750 dhcpd auto_config outside ! dhcpd address 192.168.1.10-192.168.1.50 inside dhcpd enable inside ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect http ! service-policy global_policy global prompt hostname context Cryptochecksum:f0559e4df00ce61dca1a08f6057327e7 : end was ist hier bitte verkehrt?? ooh Bin verzweifelt!!!!! Schau dir mal bitte die config genau an, ob du vielleicht irgendwo einen Fehler siehst! Danke!

Hier mal der "packet-tracer" Versuch: ASA5505# packet-tracer input outside udp y.y.y.y 9826 x.x.x.x 4444 Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: UN-NAT Subtype: static Result: ALLOW Config: static (inside,outside) udp x.x.x.x 4444 192.168.1.1 4444 netmask 255.255.255.255 match udp inside host 192.168.1.1 eq 4444 outside any static translation to x.x.x.x/4444 translate_hits = 0, untranslate_hits = 242382 Additional Information: NAT divert to egress interface inside Untranslate x.x.x.x/4444 to 192.168.1.1/4444 using netmask 255.255.255.255 Phase: 3 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in x.x.x.x 255.255.255.255 identity Phase: 4 Type: ACCESS-LIST Subtype: Result: DROP Config: Implicit Rule Additional Information: Forward Flow based lookup yields rule: in id=0x353fa00, priority=0, domain=permit, deny=true hits=242394, user_data=0x9, cs_id=0x0, flags=0x1000, protocol=0 src ip=0.0.0.0, mask=0.0.0.0, port=0 dst ip=0.0.0.0, mask=0.0.0.0, port=0 Result: input-interface: outside input-status: up input-line-status: up output-interface: NP Identity Ifc output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule ist dir mal was aufgefallen??

Mit "interface" war "Zielhost" gemeint bzw die IP adresse des outside-Interfaces! die access-list sieht folgermassen aus: access-list outside_access_in extended permit udp any host x.x.x.x eq 4444 aber die access-list wird nicht mal gematcht und die ASA dropt einfach die packets!!! mit "sho conn" sehe ich auch überhaupt keine connection! sho xlate : ASA5505# sho xlate 1 in use, 1 most used PAT Global x.x.x.x(4444) Local 192.168.1.1(4444) Edit: ASA5505# sho asp dro Frame drop: Flow is denied by configured rule 242390 TCP DUP and has been ACKed 2 Interface is down 2 Non-IP packet received in routed mode 1 Flow drop: hast du da noch eine Idee?? Danke im voruas! Gruß

Ich habe die folgende statische NAT: static (inside,outside) udp interface 4444 192.168.1.1 4444 netmask 255.255.255.255 und die folgende access-listen: same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list outside_access_in extended permit udp any host interface eq 4444 access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain und trotzdem funktioniert die statische NAT nicht!! ich bekomme ständig die folgende Meldung im logg: %ASA-7-710005: UDP request discarded from x.x.x.x/1026 to outside:interface/4444 Es ist mir auch aufgefallen daß die access-list überhaupt nicht gematcht sind!!! access-list outside_access_in line 1 extended permit udp any host interface eq 4444 (hitcnt=0) hab ich da was übersehen oder was?? Könntest du mal bitte dein config posten? Gruß & Danke

d. h. das Problem lag an " any any" oder was? Ist dein Exchange von draußen erreichbar? Gilt das nur für TCP oder auch für UDP? Kannst du mal bitte versuchen, eine UDP Portforwarding hinzukriegen! Ich hab's leider nicht hingekriegt :-( Gruß MYOEY

und läuft jetzt?

was sagt "sho logg"? welche Meldungen siehtst du da auf der ASA? Grüße MYOEY

Moin Moin, Weiß jemand ob die Cisco 7600 Series Router Firewall Services Module für Catalyst 6500 Series Switch failoverfähig sind? wenn man 2 6500er und 2x FWSM drin hat, kann man die im failovermodus betreiben? Gruss MYOEY