Wordo

Mach mal ein write und starte beide Geraete neu ...

Was sagt "sh int fa1"?

Kannst du von Router aus einen Client auf 192.168.3 pingen (Client-Firewall deaktivieren)? Poste mal ein "sh arp" vom Router (nach den Pingversuchen)

Ja, aufm Client muss halt das ActiveX installiert sein und geht fuer Onlineediting nur mit IE. Einfach nur WebVPN .. Link zum Sharepoint, alles andere ist Transparent fuer den User.

An welchem Port haengt das Kabel zu deinem LAN? FastEthernet0?

Das heisst du hast auf der ASA einen Link zum Sharepoint und kannst ganz normal Dokumente (doc, xls) ueber die WebVPN-Session online editieren.

Puh, von der Config wird doch nur 10% gebraucht oder? Mach mal statt: ip default-gateway 88.151.70.81 ip route 0.0.0.0 0.0.0.0 88.151.70.81 Bin mir jetzt nicht sicher ob das hilft, aber ist mir sofort aufgefallen. EDIT: Den Ping machst du definitiv vom Router aus? Poste noch ein "sh int fa1"

Sharepoint und ASA funktionieren seit 8.0.4.32 problemlos, davor wars ne Katastrophe. Seit froh das du den ISA noch als Kruecke hast, ich musst mich wochenlang mit dem TAC rumschlagen weil die ASA beim Worddokument am Ende noch ein 0x00 entfernt hat und das Dokument dann hin war :P

Kannst du die komplette Config (bis auf Passwoerter) mal posten?

Wollts grad runterladen, klappt aber nich. Kannst die MSI irgendwo hochladen? Prinzipiell wuerd ich den AnyConnect im WebVPN einbauen, dann muss sich jeder nach dem Update einloggen (ueber WebVPN) und bekommt automatisch den AnyConnect installiert.

88.151.70.81 ist dann das Default-GW? Kannst du mal die Firewall deaktivieren?

Ein Ping von wo aus? Client hinter dem Router? Vom Router aus? Geht n Ping auf die IP von Google (209.85.135.105)? Verstehst du jetzt worauf wir hinaus wollen?

Nein, hast du nicht. Sag doch mal deine IP's. Und kannst du denn die IP's selbst pingen (ohne Namensaufloesung). Und vielleicht magste noch paar Configs hier reinposten.

Wenn - nach seiner Ausfuehrung - Nagios nicht aktiv ist, gehe ich mal davon aus er will mehr oder weniger agent-basiert benachrichtigt werden. Prinzipiell machts schon Sinn, da du sofort benachrichtigt wirst (trap an syslog an sms oder was auch immer). Ich wuerd das eher als goodie sehen ...

Mit aktiv meint er wohl das die Geräte den Fehler melden, wie z.B. mit snmptraps.

@Necron: Danke! :) @BrainStorm: u.a. Schueler ... ;) Viele Features sollen halt auf mit Usernamen authentifiziert werden .. eventuell machen wir da was mit Read-only DC's was angeblich ab 2008 gehen soll. Zum Glueck nich meine Baustelle. Ich will halt nich alles in separate Netze stecken um am Ende festzustellen das ich wieder alles freischalten muss so wie bei MAPI :)

... und die Windowsfirewall deaktivert :)

Hi, ich komm eher mehr aus der Netzwerkschiene und kenn mit mit Designs, sei es Campus oder Datacenter schon recht gut aus. Allerdings bin ich die volle Windows-0 und suche paar, nicht zu sehr ins Detail gehende Disgn Guides. Fokus sollte Security sein, also das jeder User potenzieller Angreifer sein koennte, bzw. davon ausgegangen wird. Also wo stehen DC's, trennt man Fileserver und Printer (L3-Ebene) etc. Hat da jemand paar nette Links fuer mich? :) Ah ja, Installation und Wartung von Windows mache ich nicht, also bitte keine Antworten wie "wozu Security im Netz wenn du Windows nicht sicher machen kannst" :) Danke!

conf t ip routing

Aber er will doch u.a. wissen wo die Leute hinsurfen, da bringt dir Netflow nichts ...

Sogar der 3560 macht schon fast alle ACL's in Hardware, fuer die Sachen oben sollte das reichen, aber wie erwaehnt gibts mit NAT etc. Probleme. Hier kommts auch auf die Performance an, wenns der Switch in Hardware macht hast du Wirespeed, bei Gigabit brauchst du schon ne ASA 5550, kostet ca. 10k.

Wo sind denn die Fragen mit denen du die Leute loechern willst? :)

Billig und effektiv mal so ausm Kopf raus: Du machst am Switch nen monitor port und haengst dahinter ein Linux mit ntop dran. Muesste eigentlich funktionieren ... Wenn ntop zu wenig Daten liefert kannste ja eigentlich alle Linuxtools verwenden ..

Ich glaub Otaku weiss wie man sich da korrekt mit Cisco in Verbindung setzt als Nicht-Kunde und ein IOS braucht. Vielleicht machen wir da mal nen eigenen Thread fuer und machen den Sticky? Dafuer diesen Second-Shot weg, die Aktion is eh schon ausgelaufen ;)

Nein, poste mal bitte ein "sh ver"