Wordo

Wie sieht denn deine NAT ACL aus?

Ich habs zwar nich ganz geschnallt aber: Wird das Zielnet mit "sh ip route" ueber das korrekte Interface geroutet? Passt die ACL fuer das NAT? Was steht in "sh ip nat transl"?

Ich hab damit nicht gemeint, dass es die Loesung fuer dein Problem war, wollte das nur mal anmerken ;)

Das ist abhaengig vom Hersteller. Bei manchen (evtl. allen?) Catalysten ist vorgegeben, dass wenn die Gegenstelle nicht auto/auto ist - der Catalyst erkennt dann Speed/Duplex nicht - sich auf den kleinsten gemeinsamen Nenner zu stellen = 10/Half

Du musst doch im Debug vom ASDM was sehen wenns nicht geht .. oder mim Packet Capture schauen ob die Pakete die ASA verlassen.

Also ... auf dem Gerät beim Kabel Anbieter war Port 135 - 138 geblockt, "irgendwie hat das wohl ESP geblockt" ... es geht jetzt alles :) Merci!

Das ist ne Cisco, verbunden an nem Modem, was die Hochfrequenz vom Kabel (TV) Internet ueber ne Kupferader jagt, rueber zu nem Privatanschluss wo das Kabelmodem des Anbieters haengt. Es soll Gegenden in DE geben da gibts nix anderes :D

Hat nicht geklappt. Mein naechster Versuch waere jetzt die crpyto map ans interne IF zu binden und dadurch NAT zu erzwingen. Das Geraet dazwischen arbeitet allerdings so strange, da will ich jetzt mal zu keinem Beitrag sagen "geht definitiv / geht definitiv nicht" ;)

Das Gegenstueck ist eine Astaro, das ist zwar ein Linux, da kann ich aber kein forceencaps aktivieren. Deswegen hab ich in Richtung IOS gesucht. SLA? NAT-T? Check grad den Zusammenhang nicht ...

Aber wenn du 2 oeffentliche IP's hast, dann erkennt er automatisch das es kein NAT ist, das ist ja mein Problem :)

Servus, hat jemand nen Plan ob man bei IOS sagen kann, dass bei der IPSec Verbindung NAT Encapsulation verwendet werden soll, egal ob genattet wird oder nicht? Ich hab bei nem Kunden ein komisches Device vor dem Ciscorouter was anscheinende ESP blockt/ignoriert/wasweissich. Wenn ich als Gegenstelle eine Linux nehm und da in der ipsec.conf "forceencaps=yes" eintrage funktionierts. Leider ist die Gegenstelle von dem Cisco kein Linux :) Hab bis jetzt leider nix gefunden ... Merci!

Hast schon mal mit dem Packet Capture Wizard ueber ASDM geschaut ob da was ankommt / durchgeht? Bin mir jetzt nicht sicher ob das schon ab 8.0.2 verfuegbar ist ...

Laeuft Citrix denn ueber den VPN-Tunnel? Vielleicht verbindet der sich auf ein Web-Gateway was nicht getunnelt wird und du brauchst ein Clientzertifikat. Wenn jetzt der Router HTTPS Traffic scannt gaukelt er dir ein Zertifikat vor und du bekommst vom Server einen Zertifikatsfehler ...

Wenn der MA sein Laptop schlafen legt und dann ins LAN haengt bekommt er ueber DHCP ja ne neue Adresse inkl. DNS-Server, ich denk mal Windows is so schlau dann den Cache zu leeren :)

Wenn dann muss der VPN-Client bzw. die VPN-Policy das unterstuetzen.

Die drei verschiedenen sind dazu da, wenn du mal die Funktion von eingehend und ausgehend trennen magst, das einfach ueber DNS realisieren kannst. Eingehende Mails: mx0 Ausgehende Mails: mailout Zugriff fuer Clients: mail Beim dritten waere es eher ein Vorschlag. SRV Records brauchst du nicht wenn du nicht weisst was es ist :) Externes MX-Flag: Host Europe FAQ

Apache fuer Windows? :P

Das ist mir sofort an der erweiterten Signatur aufgefallen! :P Glueckwunsch! :)

Geht das ueberhaupt? :) Mit VDSL? Welche Hardware?

Wer zahlt schafft an ;)

deb pppoe er deb pppoe ev deb ppp neg deb ppp autho deb ppp authe ter mon

Aber das Antwortpaket ist ja die bekannte Source. ISP_A (1.1.1.1) ISP_B (2.2.2.2) Default-GW 1.1.1.1 Crpyto-map 2.2.2.2 wird angesprochen, dann muss das Antwortpaket vom Router ja als 2.2.2.2 kommen. Also Source 2.2.2.2 per PBR ueber IF ISP_B. Keine Ahnung ob das funzt .. bin grad zu faul nen Router hier aufzusetzen :)

Hm, nur ein Gedankenspiel: acl 101 mit src ip ISP_A acl 102 mit src ip ISP_B Route-map mit match auf 101 route durch IF ISP_A Route-map mit match auf 102 route durch IF ISP_B local policy map muss noch aktiv sein. Kann aber sein das das nich funzt ... :)

Waehl dich mim Client ein und mach ne DOS Box auf und gib "route print" ein. Das dann posten ...

Die Option hab ich im ASDM nicht gefunden :D