hegl
-
Gesamte Inhalte
704 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von hegl
-
-
Es kommt hin und wieder vor, dass externe Administratoren Zugriff auf Server in unserem Netz haben müssen. Teilweise erfolgt das mittels WebEx, Netviewer etc., die von diesen Admins zur Verfügung gestellt werden. Es gibt aber auch Admins, die nicht über solche Tools verfügen und da muss ich dann immer eine VPN-Verbindung konfigurieren.
Was aber ist, wenn der Admin dann den VPN-Client nicht hat?
Da die ASA ja auch über SSL-VPN zu erreichen ist stellt sich mir die Frage, ob das nicht eine Möglichkeit wäre, ext. Admins z.B. eine RDP-Verbindung auf einen internen Server zu ermöglichen. Leider habe ich hiervon NULL Ahnung.
Ist dies eine sinnvolle Alternative? Was mich ich dazu tun? Hat jemand ein sample?
-
Der ASDM ist zumindest für die Grundkonfiguration so was von selbsterklärend, dass eigentlich jedes Handbuch sinnlos ist. Es sei denn man weiß nicht, was configuration heisst.
In diesem Metier wirst Du wohl über übel nicht über einige grundlegende Englischkenntnisse auskommen, so dass ich Dir rate, zuerst einmal einen Englischkurs zu besuchen.
-
Danke. Mag sein das sie im SOHO Segment vll. besser sind. Wir haben hier mit denen schlechte Erfahrungen gemacht.
Wir auch, deshalb kommt bei uns als Low-Cost nur noch Linksys ins Haus ;)
-
...
Nun will ich mich nicht länger mit diesem Teil aufhalten. Deshalb suche ich einen neuen Router, der VPN (PPTP) zu läßt. Was könnt ihr mir da empfehlen?
PPTP-Passthrough sollte eigentlich jeder 08/15-Router unterstützen und zur Nutzung dieses eher unsicheren Features ist es vollkommen egal, ob man einen Netgaer, D-Link (oder was weiß ich was es da noch für böse Wörter gibt) nimmt.
-
Bist Du sicher, dass die "Platzprobleme" von den Updates kommen?
Meine 223 über WSUS installierten Deinstallationinformationen belegen mal gerade 843 MB Plattenplatz...
-
Bei den aaa-commands kannst Du keine object-group anziehen, hier muss man auf die IP´s oder eine ACL verweisen.
-
hallo,
also region kerpen .. hauptsitz
und dann region.. erfurt da hinten in den neuen bundesländern..
aber ausserhalb .. mitten in der pampa.. ;)
dangööö
Kerpen, Rheinland? Dann würde sich doch Netcologne anbieten...
...und in der Pampa mieten die sich einfach einen auf ihre Verantwortung.
-
Stell mal in der Einstellungen der VPN Verbindung im Windows die Datenverschluesselung auf optional, und wenn das nicht geht, beim Reiter Sicherheit auf Erweitert und in den Einstellungen alle Authentifizierungsprotokolle anklicken.
Hatte ich bereits getestet, geht aber auch nicht (ja, auf der ASA hatte ich dann auch entsprechend die Einträge gesetzt ;) ).
Im debugging sehe ich:
%PIX|ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = X.X.X.X : user = testuser
Ist egal, welchen User ich teste, immer das gleiche Ergebnis :mad:
Er zeigt mir ja den richtigen Server und User an, d.h. der Befehl für die authentication-server-group stimmt.
-
Ich eröffne den Thread http://www.mcseboard.de/cisco-forum-allgemein-38/l2tp-asa-2-133173.html hier noch mal neu, da meine neuen Infos immer hinten dran gehangen werden und man nicht sieht, dass was Neues dazu gekommen ist. Also:
Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...
...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht.
Habt Ihr eine Idee?
-
-
Ich find seit ASA 8 machts mit CLI keinen Spass mehr wenn du was mit WebVPN machen musst. Dauernd exportieren und importieren, und mit "sh run" hast keinen Ueberblick.
Ich mache mittlerweile auch fast alles über den ASDM, vergesse aber immer den Wizzard :rolleyes:
Wenigstens is der ASDM stabiler als der SDM :DSDM oder PDM habe ich nie genutzt.
Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig :confused:
Bleibt mir wohl nichts anderes übrig, als mal einen Spezi einzukaufen...
...und das für wahrscheinlich 5 Minuten Arbeit.
–
Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig :confused:
Kommando zurück! Beim Entfernen der über den ASDM konfigurierten comamnds sind wohl irgendwelche Dinge nicht wieder sauber rausgeschmissen worden. Nach Wiederherstellung der vorher laufenden conf und Konfiguration des L2TP-Tunnels mit dem Wizzard funzt der Tunnel :)
Einziges manuelles Eingreifen war noch das Deaktivieren von PFS.
–
Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"...
...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht. :confused::confused::confused:
Habt Ihr eine Idee?
–
Warum wird das immer hinten dran geschrieben???
-
Hast schon mal den Wizard vom ASDM fuer die Config probiert?
Nöö, aber gute Idee ;)
ist halt das Problem wenn man von der PIX das CLI gewöhnt ist ...
-
Ja ... wahrscheinlich weil du dir in der Reg was zerschossen hast. Rueckgaengig machen, Sniffer installieren, nochmal probieren .. (und Reboot is auch nie verkehrt)
Wieder der alte Zustand mit den ersten Fehlermeldungen. Im wireshark sehe ich als letztes ISAKMP Identy Protection (Main Mode) , dann versucht der Client den Quick Mode worauf die ASA mit zwei ISAKMP Informational antwortet. Aber hier ist nichts weiter zu entnehmen :mad:
-
Ach, bei XP ist das so n hin und her mit Service Pack etc.
Wenn dus auch mit nem Client ohne NAT versuchen kannst waers nicht schlecht. L2TP/IPSec macht hin und wieder Aerger mit PSK statt Zertifikat.
Mit ner öffentlichen IP direkt auf der Providerstandleitung klappts auch ned :confused:
Fehler 678: Der Remotecomputer antwortet nicht!
-
Habe es doch noch mal eben mit den Registry-Einträgen probiert, weil die bei meinem XP-System nicht vorhanden waren. Jetzt scheinen gar keine Anfragen mehr bis zur ASA (Version 8.0.2) durchzukommen. Auf der ASA sehe ich jedenfalls nichts und der Client steht so ne halbe Minute bei "Verbindung wird hergestellt mit xxxx" und bricht dann ab.
Na ja, kommt Zeit, kommt Overath :D:D:D
-
hi hegl,
bist Du gezwungen worden das zu konfigurieren oder machst Du das
freiwillig ? :D
gezwungen...
Hast Du denn die ganzen Registry Einstellungen für den Client (Windoofs) gemacht ?Die sind auf jeden Fall genau (peinlichst genau) zu machen, sonst geht nix.
Ich denke bei XP hat sich das mit der Registry erübrigt!?
Hast Du auf die "crypto map" geachtet ?Habe sowohl in der dynmap den L2TP ganz am Ende (highest ID) als wie in der gebundenen map am Interface (outside) auch.
Ohne dem, ist es damals auch nicht gegangen..
Verstehe ich nicht ganz: highest ID habe ich, weil ich die gleiche map, wie die für IPSec verwende. Oder ist hier bereits dann der Hund begraben und ich muss eine extra map konfigurieren? Was meinst Du mit "als wie in der gebundenen map am Interface (outside) auch"
Und mach mal nen "debug crypto ipsec 7"oder gleich die "debug crypto ipsec 100"..
Mache ich am Montag, die können mich jetzt alles mal :p
Schon mal besten Dank für die Hinweise.
-
Ist der Client hinter einem NAT-Device? Kannst du nen Gegentest machen?
Was meinst du denn mit Gegentest? Jawohl, der Client ist hinter einem NAT-Device. Meinst Du ich sollte mal auf L2TP-Passthrough checken?
-
Ich muss auf unserer ASA, L2TP over IPSEc einrichten. Dabei habe ich mich an das sample L2TP Over IPsec Between Windows 2000/XP PC and PIX/ASA 7.2 Using Pre-shared Key Configuration Example - Cisco Systems gehalten. Leider funktioniert´s nicht ganz.
Die Pase 1 wird noch als completed gemeldet, doch dann erhalte ich den syslog 713177:
Error Message %PIX|ASA-6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address, Protocol protocol, Port port
Explanation A Phase 2 ID payload containing an FQDN has been received from the peer.
Recommended Action None required. [/b]
Anschließend kommt die Meldung:
%PIX|ASA-3-713902 descriptive_event_string
This system log message could have several possible text strings describing an error. This may be the result of a configuration error either on the headend or remote access client.
Da der FQDN aber nicht offiziell ist, habe ich bei den IKE Parameters die Option "Identity to be sent to Peer: address" gewählt, was auch bei den IPSec-Clients bestens funktioniert. Da dies eine globale Einstellung ist, wundert es mich sehr, dass bei L2TP over IPSec die ASA den FQDN erhält.
Habt ihr ne Ahnung, an was das liegen könnte?
-
Danke schon mal. Ich denke ein 64Bit-OS ist wirklich zur Zeit noch Zukunftsmusik und für meine Zwecke reicht das 32 Mbit-OS vollkommen aus!
-
Hallo,
ich suche gerade Argumente, welches OS vorzuziehen ist.
Eigentlich sehe ich im Moment für die 64Bit-Version von Vista nur die erweiterte RAM-Nutzung als Vorteil. Aber ist das wirklich ein Vorteil, wenn die meiste SW nicht mehr als 2 GB unterstützt?
Negatives lese ich immer wieder über Treiberprobleme, was mich natürlich zur Vorsicht zwingt.
Für einen neuen PC, der mit einem Q6600 und 4 GD RAM ausgestattet werden soll, weiß ich nicht so recht, welches OS ich nehmen soll. Hauptsächlich wird nur mit Office und Adobe´s Photo Shop Elements 6 bzw. Permiere Elements 4 gearbeitet.
Habt Ihr Erfahrungen und könnt was berichten?
-
Systemwiederherstellung? Recovery?
-
Ohne eine Info, wie die Netze verbunden sind und wie die Einwahl und die Authentifizierung aussieht, können wir auch "Rate mal mit Rosenthal" spielen. :confused::confused::confused:
-
Bleibt jetzt nur noch die Frage nach den Releases und ihren Bug's.
Oder z.B. auch die Frage:
Im Guide gelten für alle Tunnel die gleichen encryption parameter z.B. 3des/sha sowohl für die dynamischen Clients als wie auch für den static.
Ich jedoch nutze Release 8.0.3 und 7.1.2
Ausserdem eine ASA mit 3des und die andere mit des Lizenz.
Ergo muss der IPSec einmal von 3des auf des zurück und umgekehrt.
Ob das Probleme bereitet.
Mal sehen was Cisco sagt.
Das würde mich allerdings auch interessieren. Habe ich mir auch noch keine Gedanken drüber gemacht, sollte man allerdings wissen!
-
hi @ all,
für alle, denen mein Roman :D nicht ganz eindeutig ist.
Hier soll es hingehen !
Greez
Mr. Oiso
Habe ich mir fast gedacht...
...leider habe ich damit auch (noch) keine Erfahrung - sorry.
Die samples sind aber eigentlich so, dass es funktionieren sollte. Vielleicht kontrollierst du nochmals die ACL´s.
Gibts denn keine Fehlermeldung?
Ssl-vpn Asa
in Cisco Forum — Allgemein
Geschrieben
Nach Einspielen von SW-Updates neue Features einrichten und teilweise auch troubleshooting.
–
Danke, aber ich habe ne ASA und keine Zyxel. Es geht mir nicht nur drum dass es geht, sondern auch wie.
Ich kenne auch Citrix nicht aus Erfahrung, weiß aber dass da mit PlugIn´s gearbeitet wird. Wie sieht das bei der ASA aus?