Wordo

Stimmt, sorry .. hab outside/inside mit Verbindungen von "aussen" nach "innen" verwechselt :rolleyes:

NAT von Outside nach Inside ging schon immer ... siehe befehl "static"

Logisch geht das .. bei ner 836 mit 12.3.7XR3 hab ich Eth0 und Eth2, das Kabel in Fe1 wird an Eth0 gebunden und das Kabel in Fe4 an Eth2. Steht auch im Logging wenn du das Kabel ansteckst. Das geht auch mit 12.4. Anbei mal n Auszug aus meiner produktiven 836: Cisco IOS Software, C836 Software (C836-K9O3S8Y6-M), Version 12.3(7)XR3, RELEASE SOFTWARE (fc2) Synched to technology version 12.3(7.11)T1 [...] interface Ethernet0 ip address 10.13.0.1 255.255.255.0 ip access-group 101 in ip access-group 101 out ! interface Ethernet2 ip address 10.14.0.1 255.255.255.0 ip access-group 101 in ip access-group 101 out ! [..] access-list 101 deny ip 10.13.0.0 0.0.0.255 10.14.0.0 0.0.0.255 access-list 101 deny ip 10.14.0.0 0.0.0.255 10.13.0.0 0.0.0.255 access-list 101 deny udp any any eq bootpc access-list 101 deny udp any any eq bootps access-list 101 deny udp any eq bootpc any access-list 101 deny udp any eq bootps any access-list 101 permit ip any any [...] 2 Netze an einem Switch sauber getrennt :D

Naja, was heisst ein Switch. SOHO und 800 sind ja im Prinzip baugleich. Das Eth2 dient ja nur als DMZ. Ich fuerchte das ist u.a. der Grund warum die SOHO die abgespeckte Version ist. Aber vielleicht kennt einer ne ACL fuer Layer 2 auf einem Interface? Dann koennte ich arp's evtl. auf Eth0 verbieten und dem Interface dann 2 IP's geben.

Jetzt hab ich glaub ich den Fehler gefunden: Resolved Caveats - Release 6.3(4) CSCed12098 PIX smtp fixup doesnt handle multiline banners correctly Mach mal ein Update von 6.3.1 auf 6.3.4 und versuchs nochmal.

Hi, wie das Topic schon sagt gehts um eine SOHO97. Ich hab vor nem halben Jahr oder so, wo 12.4 noch nicht draussen war eine 836 mit 2 Ethernetschnittstellen konfigurieren muessen. Dazu hab ich 12.3.7XR2 drauf installiert und dann hat er auch brav ein Eth0 und Eth2 angezeigt. Jetzt hab ich hier ne unbrauchbare SOHO97 rumstehen und wollte das bei der auch machen, also 12.3.7XR6 runtergeladen, reload und trotzdem nur Eth0 nur zu sehen. Ist das fuer verschiedene Baureihen immer unterschiedlich? Fuer 12.4 hat die SOHO zu wenig RAM drauf, deswegen 12.3. Auf Eth0 ip/mask secondary will ich nicht zurueckgreifen, da dann trotzdem noch ARP/DHCP ueber die Schnittstelle laeuft und das nicht sauber getrennt wird. Hat einer ne Idee oder weiss mit welchem IOS das bei ner SOHO97 klappt? Merci ...

wenn die vorher beschriebene methode auch nix bringt dann lad ueber den rommon das IOS per tftpdnld, allerdings mit der option "-r" damit das IOS nicht auf das flash geschrieben wird, sondern direkt bootet. wenn du dann drin bist kannste deinen falsh speicher neu formatieren (delete, squeeze etc.). dasselbe problem hatte ich auch mal mit ner 836er nachdem ich bisschen mit partitionen rumgespielt hab.

conf t ip routing exit

Hmmm .. bin nich so der PIX-Experte. Poste doch mal deine komplette Config bitte.

Was gibst du denn ein? Du darfst bei Routen keine Wildcard Bits, wie bei access-listen verwenden

ach die softwarefirewall macht bestimmt die ports auf damit sie portscans erkennt. so aehnlich funktioniert auch psad (fuer linux) welches durch erkennen des portscans dann die ip blockt. mach doch einfach mal lokal auf der kiste n telnet auf die ganzen ports. da kommt wahrscheinlich nur n "connect-fenster" und keine banner (ausser die firewall hat noch ne honeypot-funktion und emuliert die services).

Hast du den Router ueber Telnet konfiguriert oder nur HTTP?

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/index.htm Das is die komplette Doku zu Version 6.3. Sollte zum Einstieg reichen :D

Kannst du bitte die ensprechenden Teil aus deine Config posten? Und schau doch mal auf der PIX mit "sh logg" ob da was gedropped wird. Normalerweise reicht "no fixup protocol smtp"

Ich kenn nicht jede Version vom VPN-Client, aber 4.7.0 hat unter "Options" -> "Windows Logong Properties" den Punkt "Start before Logon". Dann baut er das VPN auf bevor sich der PC an der Domaene anmeldet.

Dann gib dem PC doch eine fest, oder installier in deinem Netz ein DHCP-Server. Das mit den 169er IP's ist schon in Ordnung (Stichwort: APIPA). Die bekommste wenn du DHCP konfiguriert hast aber das Windows keinen Server findet.

Die Meldung kommt wenn du den Rechner hochfaehrst, dich am Windows anmeldest, im normalen Betrieb, oder nach dem Verbinden ueber PPPoE?

Dann poste doch mal die userconfig von dem Radius ..

Das ist schon OK so, das ist ja auch eine Punkt-zu-Punkt-Verbindung, und mehr braucht der Client dann auch nicht weil er einfach jedes Paket (ausser lokale Adressen und anders gesetzte Routen) an seinen PPP "Partner" schickt.

Deine lokale IP wird ignoriert wenn du ueber PPPoE eine zugewiesen bekommst (zumindest fuer Verbindungen zu Adressen die nicht in deinem Netzwerk sind). Du kannst dann natuerlich auch manuell Routen setzen. Die IP-Adresse vergibst du dann i.d.R. im Radius.

Gratuliere!! :D Habs mir auch fest fuer Fruehling 06 vorgenommen die Pruefung zu machen :)

Eigentlich ist das ja auch korrekt zumindest bei ner 3600, muss ich mal bei Gelegenheit testen ...

Also wenn die Cisco "unknown" is, dann stimmt was in der clients.conf nicht (die is aber korrekt) oder beim Cisco Router. Ist FreeRadius ne 1.x.xer Version? Ich glaub du darfst da die nas*** Datei nicht im Ordner haben wenn du clients.conf benutzt. Guck da mal nach. Die Cisco Config muesst eigentlich passen, bei mir siehts fast gleich aus, aber ich authentifiziere nur PPP Sessions. Den radius kannst du nicht mit -x starten und das Zeug mal posten?

Was is das fuer ein Radiusserver? Kannst du da nicht mehr debuggen (Bei FreeRadius mit -x starten)? Und am besten noch n dump mitschicken (tcpdump host 192.168.1.253 -n -X -s 0). Und was sagt denn deb radius && ter mon?

"Ignoring request from unknown Client 192.168.1.253:1645" radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 Da kann schon mal was nicht stimmen, sind ja 2 unterschiedliche Ports ...