glady

Aha, ist da also doch was dran, dass AES, obwohl höhere Verschlüsselung, weniger CPU belastend ist als 3DES?

Wordo, an was für einem Anschluss hängt der Router? Was mich auch interessieren würde, ist die CPU-Auslastung bei 3DES und AES gleich?

Danke Wordo Mich würde noch interessieren, wieviel Durchsatz der Router über VPN schafft. In einem anderen Forum wird von 8MBit Durchsatz mit eingeschl. IPS/Firewall berichtet. Hat jemand Erfahrungswerte?

Hallo Dirk, muss bei der 16MBit Leitung der Router anders konfiguriert werden als üblich? Wenn ja wäre es toll, wenn Du eine Konfig. posten könntest. Gruß, Glady

Hallo, sollte man an einem T-DSL Business 16MBit den Cisco 876 das integrirte Modem verwenden oder sollte man ein externes Modem verwenden? Oder anders gefragt, hätte ich Nachteile, wenn ich das integrierte Modem von Cisco benutzen würde? Welches IOS und welche DSL-Firmware sollte man beutzen? Gruß, Glady

Hallo, habe das Problem, dass bei einigen Usern die SSL-Session von alleine abbricht. Das sind die einzigen 3 Meldungen, die das Logging dazu raus schreibt: %ASA-7-722029: Group <123> User <xy> IP <91.46.217.138> SVC Session Termination: Conns: 1, DPD Conns: 0, Comp resets: 0, Dcmp resets: 0. %ASA-7-722030: Group <123> User <xy> IP <91.46.217.138> SVC Session Termination: In: 418636 (+69) bytes, 8006 (+1) packets, 0 drops. %ASA-7-722031: Group <123> User <xy> IP <91.46.217.138> SVC Session Termination: Out: 9963161 (+23) bytes, 11973 (+1) packets, 241 drops. Die User haben in Ihrem DSL-Router 30 Minuten IDLE-Timeout für Ihre Internetverbindung. Hat jemand eine Idee bzw. weiß was mit den Meldungen anzufangen? Glady

Hallo, unsere ASA ist so konfiguriert, dass man sich per SSL- oder IPSec-Client in Verbindung mit dem RSA-Token authentifiziert. Dabei kann der User auch im Internet-Cafe über einen Rechner sich connecten und auf die Server, die auf der Firewall freigegeben sind, zugreifen. Ich hätte nun gerne eine Unterscheidung, zwischen einem Verbindungsaufbau von seinem eigenen Laptop und zwischen anderen Rechnern. Wenn der User mit seinem eigenen Laptop eine Verbindung aufbaut, soll er in IP-Pool1 landen, wenn er über einen anderen Rechner die Verbindung aufbaut, soll er in IP-Pool2 landen. Gibt es die Möglichkeit sowas auf der ASA zu konfigurieren? Oder ist das ein falscher Ansatz? Bin für jeden Tip dankbar. Glady

Hier steht einiges zum Thema DF-Bit: https://www.mcseboard.de/cisco-forum-allgemein-38/vpn-dsl-citrix-tastaturverzoegerungen-106102.html

Hi, wofür wird das in der Praxis eingesetzt, was Du konfiguriert hast? Gruß, Glady

Wichtig wäre es für mich zu wissen, ob man grundsätzlich in der VPN-Konfiguration anstelle der IP des VPN-Geräts auf der anderen Seite, einen Namen eintragen kann. Der Kunde hat keine feste öffentliche IP und auch kein Cisco, mit dem ich EZVPN machen könnte. Nun möchte ich auf meiner Seite den Tunnel einrichten und dabei keine öffentliche IP, sondern die domain eintragen. Mein Router müsste ja den Namen dann per DNS auflösen. In meinen Augen ist das auch keine stabile Lösung. Aber temporär bis der Kunde eine feste IP besorgt, wäre das sicherlich eine große Hilfe, wenn das funktionieren würde.

Hat schon jemand Erfahrung mit VPN-Tunnel Site-to-Site über Namen anstelle von IP-Adressen bzw. ist das mit Cisco überhaupt möglich? Und das zweite Thema ist, kann man wie auf 0815 DSL-Routern einen DYNDNS-Account auf dem Router einrichten? Gruß, Glady

Dadurch hätte ich doch nur erreicht, dass sich die Filialen gegenseitig sehen -oder irre ich mich? Mein Ziel ist es, dass sich Sta-B den Sta-A mit einer anderen IP sehen (NAT).

Wie meinst Du das? Übrigens, die VPN-Geräte an den Standorten werden nicht von mir administriert. ich möchte, dass Sta-B Sta-A mit anderen IP-Adressen sieht. Leider kann an beiden Standorten kein NAT konfiguriert werden, weshalb ich das an der Zentrale konfigurieren möchte.

StandortA und StandortB werden an der Zentrale per VPN terminiert. Das IP-Netz von StandortA soll, wenn es zu StandortB möchte, auf dem zenralen Router genanattet werden. Ist das irgendwie hinzubekommen?

Hallo, weiß jemand, ob es möglich ist, ein Netz das über ein Interaface rein kommt, üb er das gleiche Interface nach draussen zu natten? Ich hatte mal was mit Loopback-Adressen gelesen, finde aber nichts mehr dazu. Gruß, Glady

Ich probiere das mit dem IE morgen gleich mal aus. FTP-Client habe ich den Filezilla getestet.

Hallo, ich kann nicht per FTP-Client ins Internet zugreifen. Habe den Firewall Client installiert und habe auch eine Verbindung zum ISA Server. Der Client hat als Defaultgateway eine Firewall. In der DMZ der Firewall ist der ISA Server mit seinem internen Bein. Mit seinem 2. Bein ist der ISA direkt im Internet. Wenn ich am Client den ISA Firewall Client aktiviere, wir ein "ping www.web.de" schon mal aufgelöst (klappt ohne den Firewall Client nicht, da der Client nur mit Proxy-Eintrag surfen kann). Ich kann auf der Firewall und im ISA-Log die Kommunikation mit Port TCP/1745 sehen. Wenn ich aber einen FTP versuche, greift der Client direkt auf die öffentliche IP zu. Und das kann ja nicht funktionieren, weil der Client keine öffentliche IP direkt erreichen kann. Für diesen Zweck soll ja der Firewall Client daher. Hat mir jemand einen Tip? Glady

Das ist schwer zu sagen. Würde sagen im Gesamten so an die 20 VPN-Clients die sich schon wegen Verbindungsproblemen gemeldet haben und sich das DNS-Problem als Ursache herausgestellt hat.

Das dürften so an die 250 Clients sein. Alles Server sind Windows2003 Systeme.

DNS-Cache abschalten brachte leider auch keine Besserung. Ich bin kein Windows-Admin. Müssten meine Kollegen sämtliche Clients neu in die Domäne aufnehmen, wenn der Domainname geändert wird? Glady

Wenn die VPN-Einwahl erfolgt ist, werden die internen DNS-Server eingetragen, die korrekte Auflösung funktioniert dann auch. Aber leider nicht für zuvor aufgebaute Sessions. Bsp. ich lasse einen Dauerping auf den Namen laufen --> löst in die öffentliche IP auf, auch nachdem ich die VPN-Verbindung starte. Wenn ich aber parallel einen zweiten Ping starte, nach der VPN-Einwahl, wird hier korrekt aufgelöst. Der erste Ping, der vor der VPN-Verbidnung angestartet wurde löst immer noch in die öffentliche IP auf. Deswegen dachte ich, wenn man den DNS-Cache auf den Clients ausschaltet, habe ich das Problem nicht mehr. Werde das am Mo. testen. Ansonsten muss ich mit den Kollegen sprechen, was für einen Aufwand es bedeuten würde, den Namen zu ändern...

Das habe ich als Workaround bei einigen Usern so gemacht. Eine andere Lösung wäre mir aber lieber, da es doch einige User, man bei irgendwelchen Änderungen an den Eintrag denken muss und es doch einige Server sind (auch Fileserver etc.) sind betroffen. habe schon überlegt den DNS-Cache ganz abzuschalten. Hätte ich dadurch einen Nachteil?

Hallo, die Domäne hugo.paul.net (Name geändert) im Internen Netzwerk existiert auch im Internet. Wenn ich nun mit einem Notebook, der dieser Domäne zugewiesen ist, eine Internetverbindung habe, werden alle Namen, die ich versuche zu erreiche, in die öffentliche IP-Adresse der Domäne hugo.paul.net aufgelöst, die es ja im Internet auch gibt. Also: Wenn ich eingebe "ping server1", macht er dann dann daraus "ping server1.hugo.paul.net" und schreibt dahinter die öffentliche IP. Kann ich das in irgendeiner Art und Weise verhindern, ohne dass ich den internen Domainnamen ändere? Das Problem ist, wenn der User zuerst sein Outlook aufmacht, Outlook dann permanent versucht auf die falsche, nämlich öffentliche IP zuzugreifen. Wenn der User dann die VPN-Verbindung aufbaut, versucht Outlook weiterhin auf die öffentliche IP, durch den VPN-Tunnel durch, zuzugreifen. Erst wenn ich "ipconfig/flushdns" eingebe, wird dann in die korrekte private IP umgesetzt. Hat mir jemand einen Tip? Gruß, Glady

Kiwi Syslog Daemon setzen wir schon für die Router etc ein. Mein Problem ist, ich weiss nicht, wo und was ich auf dem ISA Server konfigurieren muss, damit er seine detailierten Meldungen zum Kiwi schickt.

Gibt es eine Möglichkeit, dass der ISA-Server permanent die Logging-Informationen auf einen Syslog-Server schreibt, wie auch andere Firewalls (z.B. Cisco)? Gruß, Glady