Wordo

Sehe ich auch so, der einzige Grund fuer mich was die Kisten da rechtfertigt waeren Private VLANs.

"stoert mich gewaltig, kann aber nur" ... also das hoert sich auch fuer mich so an als wuerde er davon ausgehen, dass mit PSK nur WEP moeglich waere (was natuerlich nicht so ist).

Aeh .. und wo is da der Unterschied zu L2TP/IPSec??? PSK + MSCHAP ...

Natuerlich geht auch L2TP/IPSec was bei Windows onboard ist ...

Hast du die Moeglichkeit ein externes Modem anzuschliessen?

Cacti: The Complete RRDTool-based Graphing Solution (also mit SNMP)

Von welchem Anbieter isn die Leitung?

Mit ner ASA wirds das auch ;)

Wenn du eine Object-Group erstellst und beide Netze reinlegst musst du nichts doppelt pflegen.

deb atm er deb atm ev deb pppoe er deb pppoe ev

Webserver mit statischer Anmeldeseite, z.B. Standarddurpalinstallation (wasn Wort). Wenn du so nen Webserver absichern willst aktivierst du die Fullcustomization der ASA, laedst den Webcontent hoch und passt das Loginfenster der ASA dem des Webservers an. Den Anmeldemechanismus per Post schickst du von der ASA zum Webserver. Der wiederrum muss n Cookie zurueckschicken. Dann bist du an der ASA schon mal angemeldet. Jetzt konfigurierst du als Homepage der Gruppe den Postlink (via Postplugin) an den eigentlichen Webserver wodurch man am Hauptsystem auch gleich mit den Daten der ASA angemeldet wird. Somit sieht fuer den User alles gleich aus, aber du schlaegst halt auf der ASA auf und nicht am Server direkt. Nach Update (vom Testsystem) von 8.2.1 auf 8.2.1.11 hats einfach nicht mehr funktioniert, da wird nichts an der Webserver geschickt.

Ich traue dem Internet weniger als dem Gaestenetz, von daher ja ;)

Find ich gut :)

Prinzipiell ist es ja egal ob das auf Windows oder Linux laeuft, ich kenn mich im Windows halt nich so gut aus und hab deswegen eher meine Bedenken, aber wie gesagt ich bin ne Windows-0 :)

Ohne die ACLs wuerde er das per default eh tun, von daher reicht ja n kleines Loch :)

Apache mit mod_security :) Ist zwar recht zickig aber fuer lau echt gut ...

Was spricht gegen das Ansprechen der internen IP? Klar, wenn Clients auch im Inet unterwegs sind passt die Config nicht mehr, aber da koennte man was mit DNS tricksen :)

Bei kleineren Firmen die finanziell nicht so grossen Spielraum haben zaehlt natuerlich auch der Knowhow-Factor. Wenn schon 2 Leute sich mit Cisco auskennen und alles andere Neuland ist, faellt die Wahl zwischen Cisco und X wohl eher auf Cisco :)

Dafuer funktionieren manch andere Sachen mit 8.2.1.11 nicht, z.B. form-based authentication.

Cisco ASA 5505 Security Plus Firewall Edition Bundle Includes: Unlimited users, 8-port Fast Ethernet switch with 2 Power over Ethernet ports, 25 IPsec VPN peers, 2 SSL VPN peers, DMZ support, Stateless Active/Standby high availability, Dual ISP support, 3DES/AES license ASA5505-SEC-BUN-K9

Kommt drauf an wie klein die Umgebung ist, und was du unter dualhomed verstehst. Das DMZ-Konzept ist meist nur so sicher wie derjenige der es konfiguriert :) IPS ist nie verkehrt, wobei ich nicht der Fan von Konstellationen bin in denen Geraete in 2 Netzwerken stehen (also parallel zu FW) und sicht nicht "Firewall" nennen :D

Du redest von HSRP/VRRP .. fuer mich ist das Hardwareredundanz, ausser du betreibst 2 Router mit je einer Leitung und machst ein Tracking im HSRP. ASA5505-SEC-BUN-K9 .. mein Standarddistributor sagt da was von 626 netto.

Ne ASA5505 mit hoechster Lizenz schafft das. Kannst 2 im Active/Standby Failover betrieben, 25 IPSecs erlaubt, und ich glaub 10 VLANs. Die kann dann auch Dual ISP Backup mit Static Object Tracking (z.B.)

Wenn die Netze aber nicht passen wird auch keine IPSEC SA ausgehandelt, kommt drauf an ob der Client das proposal mit der Config vergleich oder einfach nur ne Route legen will. Kenn den Client allerdings nicht ...

Ich wuerd mich da ans TAC wenden bevor du irgendwelche exotische Sachen ausprobierst :)