maho

Hallo, ich suche eine Firewall, die meine Anforderungen erfüllen kann. VLAN Tagging soll möglich sein und NAT ist auch absolutes KO-Kriterium. Die alte PIX mit Software 6.3 oder 6.4 konnte kein NAT von Outside nach Inside. Hat schon jemand Erfahrung mit der Software 7.0? Ist mein Vorhaben mit der neuen Software möglich?

Hallo, der Vorgang für den OWA-Zugriff erfodert momentan 2 x Authentifizierung. Ich greife aus dem Internet auf den ISA2004 zu. Durch den Listener in der Zugriffsregel wird meine Anfrage zum RSA-Server weitergeleitet. Nachdem ich mich mit meiner SecureID-Card korrekt authentifiziert habe, gelange ich zur Anmeldung auf den Exchangeserver. nun muss ich mich erneut authentifizieren. Und zwar so, wie ich mich auch im Windows einlogge. Ich muss mich 2x authentifizieren. Gibt es einen Weg, dass ich mich mit der Authentifizierung mit der SecureID-Card auch gleichzeitig in mein Postfach gelange? Wenn ja, an welcher Stelle muss welche "Schraube" gedreht werden? Für jede Hilfe, jeden Tip danke ich schon mal im Voraus!!! Maho

Super Tip, hat funktioniert. Danke!

Hallo, ist es möglich, dass ich ein Benutzer, der sich über den Cisco VPN-Client im Firmennetzwerk einwähllt, sich auch gleichzeitig an der Domäne anmeldet? Problem ist, dass der Benutzer über VPN nicht die Rechte erhält wie lokal im Netzwerk, wenn er isch an der Domäne anmeldet. Über VPN funktionieren dann verschiedene Dinge nicht (z.B. kann er irgenwelche Scripts nicht ausführen). Ich hoffe jemand hat da Erfahrung und kann mir weiterhelfen. Danke schon mal im Voraus. maho

Hi Rob, wie siehts aus, haste mir vielleicht noch paar Infos? Ich komme nicht weiter, finde auch nichts Bracuhbares auf der Cisco Seite.

Hi, wenn Du Dich um eine Stelle bewirbst, weiss kein Mensch dass Du ein toller Admin bist, und alles besser drauf hast, als die meisten mit CCNA. Es ist zwar ungerecht, aber oftmals werden die Bewerber mit CCNA bevorzugt. Kann ich nur empfehlen. Hast Du noch keine Stellenanzeige gelesen "CCNA Zertifikat bevorzugt"? maho

hat mir jemand eine Bsp. Konfig. mit rcapi? Ich habe nämlich nicht blassesten Schimmer, wie das zu konfigurieren sein soll... Wäre über jeden Tip sehr dankbar.

Ich glaube Du hast mich missverstanden. Vergiss mal die VPN/Concentrator Geschichte. Stell Dir vor, Du kriegst von mir eine RSA Karte, eine Rufnummer wo Du Dich einwählen sollst und einen Benutzernamen. So und nun willst Du Dich nicht mit einem PC, sondern einen Router bei mir einwählen. Ich hoffe diesmal ist es klarer. Grüße, maho

Wir administratiren den Eiwahlrouter nicht. Wir haben nur eine RSA karte bekommen, mit dem wir uns per PC und ISDN einwählen sollen. Nun möchte ich mich nicht per PC, sondern über einen Router einwählen. Wie sieht die Konfig. des Routers aus?

Wir haben einen sicheren ISDN-Zugang bei einem Partner, für Consulting-Tätigkeiten. Damit sich die User nicht per Rechner einwählen müssen, hätte ich gerne eine Routereinwahl dafür. Zweck: - Mehrere User sollen über eine Einwahl mit einer RSA SecureID Card parallel arbeiten können - spart ISDN Anschlüsse - es wird nur eine RSA Karte benötigt per Cisco Concentrator und VPN Hardware-Client habe ich das schon gemacht. Ganz grob: Hardware-Client macht Anfrage zum Concentrator, dieser verlangt RSA Auth. über den User per Anmeldung auf den Hardware-Client. Nun ganz das ganze Netzwerk per NAT zugreifen. Wenn das so ähnlich per ISDN und Router funktionieren würde...

Hallo, ist es möglich eine ISDN-Einwahl mit RSA SecureID-Card Autorisierung mit einem Router zu implementieren? Dann wäre es nämlich möglich den Zugriff zu sharen, um mehrere User parallel den Zugriff zu ermöglichen. Wäre Remote Capi das Richtige dafür? Danke schon mal im Voraus. maho

Hi, von Cisco-Leuten habe ich die Info, dass die PIX Büchsen durch die ASA ersetzt werden. Ist also nur eine Frage der Zeit, wann die PIXen Out of Service gehen. Ich glaube, preislich ist die ASA nicht teurer als die Pix, oder? maho

Die Switches sind redundant und zusätzlich haben wir einen 4h-Wartungvertrag. Den Befehl sh traffic gibt es bei mir nicht: sh tra? traffic-shape translate

ok. werde das dann mal ausprobieren. Danke!!!

Hi, warum wählst Du Dich per PPPOE ein? Ist der Zugriff, Passwort-Handshake überhaupt noch verschlüsselt? Der Cisco VPN-Client hat eine große Lücke: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/64954&words=Cisco Grüße, Maho PS: Mit den neueren 1800er Routern soll WEBVPN möglich sein. Wären doch eine alternative zur PIX?! In Projekten mit ISDN Backup ist die PIX viel zu unflexibel. Die Router können auch "Reliable Static Routing Back-up using Object Tracking".

Hi, mit den 0815 DSL-Routern ist das so eine Sache... Für privaten Gebrauch sicherlich ok, aber im Geschäft musst Du evtl. SLA's inhalten, musst vielleicht Service-/Wartungsverträge abschließen usw. Grüße maho

Hi, kannst Du sagen, wie an die Stelle "HTTP-Konnektivitätsverifizierung" komme? Ist es nun so, dass ich die Firewallfunktion des ISA's ausgeschalten habe? Danke und Grüße maho

Hallo Dirk, ich mache kein SecureNat. Zugriff aus internem Netz durch eine Firewall zum Proxy (ISA) in der DMZ. Der interne Zugriff funktioniert auch mit Webproxyfilter. Aber wenn ich lokal vom ISA aus in WEB möchte, kommt eine Fehlermeldung, dass ISA denied. Wenn ich dann das Häkchen raus nehme, funktioniert das auch lokal. Grüße, maho

Hallo, in den Eigenschaften des HTTP Protokolls war das Häkchen unter Application Filters bei Web Proxy Filter aktiv. Ich konnte lokal vom ISA nicht ins Internet. Nachdem ich das Häkchen raus genommen habe, funktioniert der Zugriff. Was hat es mit dem "Web Proxy Filter" an diesr Stelle auf sich? Toolbox--> Protocols--> Web--> HTTP--> rechte Maustaste HTTP Proberties--> Parameters--> Application Filters--> Kästchen Web Proxy Filter Komisch war, dass ich im Logging sehen konnte, dass Zugriff Lokal nach extern denied wurde, obwohl Zugriff frei gegeben war. Viele Grüße maho

Ich verstehe eine Sache nicht. Der Switch C2950EI kann 250 VLANs und 64 STP. Warum asynchron, wie soll das funktionieren? Wir haben alle Access-Switches redundant angeschlossen. Da sind einige dabei, die nur 64 STP können (z.B. C3500XL, C2950EI/XL). Sicherlich könnte man nun auf den Switches die VLANs ausklammern, die nicht benötigt werden. Aber ich würde gerne flexibel bleiben und nicht jedesmal überlegen müssen, mensch ist vlanx nun aktiv oder nicht auf diesem Switch, wenn ich einen Server umziehe oder neu anschließe. Was hat das für eine Auswirkung, wenn der Switch zwar 200 VLAN per VTP lernt (sh vlan), aber nur 64 STP unterstützt (sh spanning-tree summary)? Oder anders gefragt, wie geht mit den VLANs um, die er mir zwar mit sh vlan anzeigt, ab unter "sh spanning-tree summary" nicht zu sehen sind?

Lass Dir doch von einigen Lieferanten ein Angebot erstellen.

Hi, es gibt mehere Möglichkeiten, z.B: - Floating Static Routes. Per zweite Route mit schlechterer AD (Administrative Distanc) auf die Backupleitung wird geregelt, dass wenn das Interface mit der besseren Route down geht, der ROuter dann den anderen Weg geht. *Nachteil: Wenn der Provider intern ein Problem hat, und das Interface an Deinem Router nicht down geht, versucht der Router seine Pakete immer noch über die "schlechte" Strecke zu schicken -Dialer Watch. Hier werden Routen überwacht. Sobald eine überwachte Route aus dem Routing-Table ausfällt, baut der Router die Backupverbindung auf und tauscht seine Routing Informationen aus. *Damit habe ich keine Erfahrung -BRI Backup Interface. Sobald das Standleitungsinterface down geht, wird autom. Backup aktiviert. *Kam für mich nie in Frage, weil wir immer Standleitung/Backup redunandat, also mit 2 Routern aufbauen. Ganz toll soll dieses Verfahren sein: Reliable Static Routing Back-up using Object Tracking Es wird eine Adresse auf der anderen Seite überwacht (gepingt). Sobald diese nicht mehr antwortet, wird die Route über die Standleitung gelöscht. Jetzt hast mal bissle Futter... Viel Spass! maho

Habe rausgefunden, dass der betroffene Switch nur 64 STP Instanzen und 250 VLANs kann. Kann mir jemand sagen, was das nun bedeutet? Wie hängen die 2 Werte zusammen?

Kommt drauf an, hinter welchem Switch sich was befindet: 200 User -- Router -- Switch -- Switch -- Server usw.

Hallo, habe auf einem Switch folgende Meldung erhalten: %SPANTREE_VLAN_SW-2-MAX_INSTANCE: Platform limit of 64 STP instances exce eded. No instance created for VLAN200 (port Fa0/42) Heisst das, dass dieser Switch nicht mehr als 64 VLAN's handlen kann? Unten habe ich zwar die Beschreibung, aber was das nun für Auswirkungen hat, weiss ich jetzt. Wer kennt die Meldung und seine Auswirkungen? Error Message SPANTREE_VLAN_SW-2-MAX_INSTANCE:Platform limit of [dec] STP instances exceeded. No instance created for [char] (port [char]). Explanation This message indicates that the number of currently active VLAN spanning tree instances has reached a platform specific limit. No additional VLAN instances will be created until the number of instances drops below that limit. Recommended Action Reduce the number of currently active spanning tree instances by either disabling some of the instances or deleting the VLANs that are associated with them. You need to manually enable those spanning trees that could not be created due to limited instances.