maho

Weiss jemand, ab welchem Wert die Counter-Anzeige wieder bei Null anfangen auf den Interfaces? Unendlich werden die ja wohl nicht zählen. Gruß, Maho

Wenn das doch ein Switch ohne den STP Standard wäre, hätte ich ein Problem, oder?

Hallo, mich würde interessieren, was passiert, wenn der Switch mit der "ID-4" oder auch die Switches mit der "ID-2" und "ID-6" keine Cisco-Switches sind. Bild:Spanning tree.png - Wikipedia Kann mir jemand erklären was dann passiert? Gehen bei doppelten Pfaden trotzdem einige auf Blocking? Mit welchem Befehl kann ich prüfen, welcher Switch welche ID hat? Danke und Gruß Maho

Details: Client ist im internen Netz und hat Internetzugriff über den Proxy (ISA 2004), der sich in der DMZ von einer Firewall befindet. Weil der Client keinen direkten Internetzugriff hat und auch nicht haben soll, ist angedacht, dass z.B. mit Installation des ISA Firewall Clients der ISA-Server den Cisco VPN-Client-Zugriff zum Concentrator "durchschleust". Habe die Ports udp 500, 4500, 10000 und 6250 angelegt. Aber leider funktioniert der Zugriff bis jetzt noch nicht. Im Syslog sehe ich, dass der Client per udp/1745 auf den ISA zugreift. Der ISA gibt aber keinen Mucks von sich Richtung VPN-Concentrator. Hat mir jemand einen Tip? Danke und Gruß Maho

Hallo, weiss jemand ob es möglich ist, eine Cisco VPN-Client-Verbindung durch den ISA Server 2004 aufzubauen? Danke und Gruß Maho

Hallo, ist es möglich, in einer Konfiguration wie dieser: Cisco - Configuring an IPsec Tunnel - Cisco Router to Checkpoint Firewall 4.1 NAT zu implementieren? (Wenn ich nicht eine Checkpoint an den Cisco terminiere, sondern mehrere und es zu Adressüberschneidungen kommt) Bin für jeden Tip sehr dankbar! Gruß, Maho

@srellik Danke für Deinen Erfahrungsbericht. In eine vorhandene Cisco-Switchumgebung passen die sicherlich nicht rein. Aber für die Ablösung von alten No-Name Switches in einem Client-Netzwerk könnte man die doch einsetzen. Aber wenn man die Kisten dann nicht mehr "stabil" administrieren kann, ist das auch nichts... Werde dann mal die C2960 unter die Lupe nehmen.

Hallo, hat schon jemand Erfahrung mit dem Switch WS-CE500-24LC? Hat der Nachteile gegenüber den CAT 2960er Switches? Danke und Gruß Maho

Hallo, auf die Gefahr hin, dass einige den Kopf schütteln, möchte ich eine Frage stellen. Jeder User arbeitet mit 2 Bildschirmen an einem PC (Dell "Erweiterter Desktop"). Wir testen nun das Arbeiten über WTS. Gibt es eine Möglichkeit auch mit einer WTS-Session beide Bildschirme zu benutzen? Habe schon gegoogelt, aber leider nichts gefunden:( Gruß, Maho

Hallo, hat das schon jemand konfiguriert und kann seine Erfahrung damit berichten? Ich hätte auch eine Frage dazu. Auf den Ethernet-Interfaces Inside und zum Provider steht MTU-Size 1500 Bytes. Auf den Tunnel-Interfaces aber 1443 Bytes. Woher kommt die Differenz und was hat das für Auswirkungen? Gruß, Maho

Wen's interessiert, ich habe die Lösung gefunden und erfolgreich getestet: In der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnablePMTUDiscovery als DWORD-Wert hinzugefügt und eine "0" eingetragen. Dann gibt auch keine Probleme über VPN-Verbindungen. Gruß, Maho

Hallo, W2K3 setzt das df-bit (don't fragment) wohl standardmäßig auf 1. So kann der Router große Pakete wie z.B. bei SAP-Anwendung üblich, nicht fragmentieren. Kann mir jemand sagen, wie ich auf einem W2K3-Server das df-bit auf 0 setzen kann? Habe über google leider nichts gefunden. Gruß, Maho

Hallo, ich versuche verzweifelt auf einem C1720 Router eine zusätzl. Netzwerkkarte zum Laufen zu bringen, will aber nicht: 00:00:05: %PQUICC-1-UNKNOWN_WIC: PQUICC(0), WIC card has an unknown ID of 0xFF Laut Cisco funktionieren die Karten ausschließlich mit C1700 Routern. Was hat der Router also für ein Problem? IOS ist drauf: c1700-sy-mz.121-27b.bin Was neueres passt wegen dem mageren Flash/DRAM nicht drauf (8MB Flash/20MB DRAM) Hat mir jemand einen Tip? Gruß, Maho

Hallo, das Wort surfverhalten war vielleicht übertrieben. Falls jemand während der Arbeit auf xxx Seiten surft, dann möchte der Admin. mind. erkennen können, wer auf die Seiten zugreift. Ob er ihn direkt anspricht oder was er daraus macht, ist die Frage. Sicherlich habt ihr Recht, dass das Rechtlich nicht ein einfaches Thema ist. Der Admin meint, die USer haben etwas unterschrieben, worin sie unterrichtet wurden keien XXX-, Spiele-,... -Seiten zu besuchen, dass dies überwacht wird und die User damit einverstanden sind. Da gebe ich dem Admin recht, dass er das zumindest protokolliert haben möchte. Gruß, Maho

Hallo, ISA 2004 selber kann ja nicht anzeigen, welcher User wann auf welcher Seite war. Kennt jemand eine, möglichst kostenlose:) , Möglichkeit das zu ermöglichen? Danke und Gruß Maho

Hallo, ich habe eine Webseite wie in dem Link beschrieben gesperrt. Funktioniert auch. http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/Webseiten_sperren.htm Aber wenn der User eine Firewall-Client hat und diese aktiv ist, kommt er trotzdem auf die Seite. Ist es irgendwie möglich die Sperrung trotz Firewall-Client hinzukriegen? Gruß, Maho

Hallo, gibt es deutsche Bücher, um sich auf die CCNA Prüfung in deutsch vorzubereiten? Vielleicht hat ja jemand schon positive oder negative Erfahrungen gemacht und kann man mir die Info geben. Wenn ich es zeitlich schaffe, möchte ich in 2006 noch an der Prüfung (in Deutsch) teil nehmen. Am liebsten würde ich mich natürlich mit deutschen Büchern darauf vorbereiten. Gruß, Maho

Hallo, mich würde interessieren, ob schon jemand ein öffentliches Zertifikat auf einem Concentrator aufgespielt hat. Welche funktionieren unproblematisch mit dem Concentrator? Ich denke ein teures Verisign muss nicht unbedingt sein. Falls ich das so machen muss: "Administration | Certificate Management | Enroll | Identity Certificate", dann "Enroll via PKCS10 Request (Manual)" - was genau muss ich unter "Common Name (CN)" und "Subject Alternative Name (FQDN)" rein schreiben? - Was wähle ich unter "Key Size" aus? Was ist der Unterschied zwischen RSA und DSA? Kennt jemand eine Anleitung für die Implementation? Maho

Vielleicht findest Du hier Antworten: http://www.cisco.com/en/US/products/sw/secursw/ps5057/prod_literature.html Maho

Habe das Problem vor kurzem auch gehabt. Konnte nirgends die Software auftreiben. Schlussendlich haben wir dann einen Bintec-Router dafür gekauft... Gruß, Maho

Hallo, wir möchten einen Proxyserver aufbauen für ca. 2500 User/concurrent ca. 500 User über einen 34Mbit Internetanschluss. Kann mir jemand einen Proxy-Server mit ICAP (Internet Content Adaption Protocol) Funktionalität + Antivirus-kompatibiltät von Trendmicro auf einem Server unter W2K3 empfehlen, von dem er weiß, dass er ohne Probleme produktiv im Einsatz ist? Gibt es DAS Produkt unter den Proxy's? Vorweg: Es darf kein Open-Source sein. EIn Produkt, für das wir einen wartungsvertrag abschließen können, ist gewünscht. Bin für jeden Tip sehr dankbar. Gruß, Maho

Hallo, da wir gerade beim Thema sind. Ich schaffe es auch nicht, mich per Telnet auf die inside IP der PIX aufzuschalten. Ich kann von 10.99.99.0/24 auf alles Rechner im Inside-Netz der PIX 192.168.55.0/24 zugreifen, aber bloss nicht auf die 192.168.55.1, das ist die inside Ip des PIX. Kann mir jemand sagen, was dafür notwendig ist? Oder gibt es einen anderen Weg die PIX remote zu administrieren? Hier die Konfig.: pixmix(config)# wr t Building configuration : Saved : PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password xxx encrypted passwd xxx encrypted hostname pixmix fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list ipsec_zentrale permit ip 192.168.55.0 255.255.255.0 10.99.99.0 255.255.255.0 access-list nonat permit ip 192.168.55.0 255.255.255.0 10.99.99.0 255.255.255.0 pager lines 24 logging on logging buffered debugging mtu outside 1500 mtu inside 1500 ip address outside pp ip address inside 192.168.55.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm logging debugging 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list nonat timeout xlate 8:00:00 timeout conn 8:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.55.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps tftp-server inside 10.99.99.119 pixmix-confg floodguard enable sysopt connection tcpmss 0 sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 3600 crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address ipsec_zentrale crypto map mymap 10 set peer x.x.x.x crypto map mymap 10 set transform-set ESP-3DES-MD5 crypto map mymap interface outside isakmp enable outside isakmp key ******** address x.x.x.x netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 telnet 10.99.99.0 255.255.255.0 inside telnet 192.168.55.0 255.255.255.0 inside telnet timeout 60 ssh timeout 5 console timeout 0 vpdn group pppoe_group request dialout pppoe vpdn group pppoe_group localname feste-ip/xxx@t-online-com.de vpdn group pppoe_group ppp authentication pap vpdn username feste-ip/xxx@t-online-com.de password ********* dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80 Cryptochecksum:bf714f86d7e2196b8bf38e799eaec0ee : end [OK] Gruß, Maho

Aus sicherheitsgründen empfehle ich Dir, nicht PPTP einzusetzen, sondern den Cisco VPN-Client, falls Du da rankommst.

Standardmäßig kannst Du den Switch graphisch über Deinen Browser konfigurieren. Vielleicht kommst Du so besser zurecht. Gruß, Maho

Ich glaube, das ist so: laddr= die phys. IP gaddr= die virtuelle Ip (NAT) faddr= die IP, die von draussen die Session auf deine NAT-IP initiiert hat Gruß, Maho