coto

danke

Hallo, in der Defaultkonfiguration ist der Zugriff vom inside Interface auf "any less secure networks" erlaubt. Ich möchte aber nur bestimmte Dienste durchlassen. Diese Regel kann ich weder deaktivieren noch löschen oder editieren. Gibt es eine Möglichkeit den Zugriff über das Inside Interface einzuschränken?

Hallo, ich war mit meiner Aussage "funktioniert alles" wohl etwas voreillig. Nach wie vor kann ich über das Inside IF kein Outside IF pingen ( ungekehrt auch nicht ) Ist dies überhaupt möglich?

ok, jetzt funktioniert alles. Folgender Befehl hat mein Problem gelöst: icmp permit host 192.168.1.1 outside Muss ich das VPN Feature noch deaktivieren? ( wird nicht benötigt ) Ist die Verwendung des Management IF von der Sicherheit her bedenklich, oder kann ich dieses IF wie jedes andere IF behandeln?

ich habe die ganze Zeit versucht die VLAN IP Adresse anzusprechen ( 10.1.1.1 ). Ich habe jetzt mal einen Client an das Outside IF 0/3 per Miniswitch angeschlossen. Dieser Client ist pingbar ( 10.1.1.100 ). Somit scheint die Regel doch zu funktionieren Ich denke man muss der Asa noch irgendwie mitteilen, das die IP Adressen der Outside IF auch pingbar sein dürfen. Kann ich die VPN Funktion der ASA deaktivieren, oder muss diese explizit aktiviert werden? Hier mal die Config: hostname asa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 speed 100 duplex full nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! ftp mode passive access-list outside_access_in extended permit icmp any any pager lines 24 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group outside_access_in in interface outside route inside 0.0.0.0 0.0.0.0 192.168.1.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh 0.0.0.0 0.0.0.0 inside ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username test password P4ttSyrm33SV8TYp encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:1472b9a78bd8977752e4f658bcd7e120

die Netze sind physikalisch getrennt, daher benötigen wir die Anzahl der Interfaces.

die Config liefere ich morgen nach. Das Management IF wird genutzt, da insgesamt 4 Netze abgesichert werden sollen. Jedes Netz möchte ich an ein eigenes IF anschliessen.

du hast natürlich recht Recht, die Zeile lautet: C 192.168.1.0 255.255.255.0 is directly connected, inside

Hallo Leute, zu Testzwecken habe ich hier eine ASA 5520. Mithilfe dieser möchte ich den Traffic zwischen 2 Netzen kontrollieren. Netz 1: 192.168.1.0/24 --> inside Netz 2: 10.1.1.0/24 --> outside --- Interface Konfig ------ interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 nameif outside security-level 0 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 speed 100 duplex full nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 Als erstes möchte ich ICMP erlauben. Mithilfe des ASDM habe ich dafür eine Outside Regeln generiert, welche ICMP zulässt ( Source any, Destination any ) access-list outside_access_in extended permit icmp any any Meine Routing Tabelle sieht folgendermaßen aus: C 10.1.1.0 255.255.255.0 is directly connected, outside C 192.168.1.254 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.254, inside 192.168.1.254 ist in diesem Fall der Layer 3 Switch. Ein Ping von der IP Adresse 192.168.1.254 zu der 192.168.1.1 funktioniert. Ein ping von der IP Adresse 192.168.1.254 zu der IP 10.1.1.1 funktioniert dagegen nicht. Wo liegt hier der Fehler? Das Routing und die Regel scheint zu stimmen. Ich bin mir nicht sicher, ob das ganze ohne Natting funktioniert. Bin für jeden Tipp dankbar. Gruß

Hallo, wenn du den Internetzugang über T-Online realisiert hast, könnte es sich hier um die Navigationshilfe handeln. Ein Ping liefert immer die richtige IP Adresse, während man bei nslookup immer die gleiche(n) IP Adressen zurückgeliefert bekommt. siehe http://www.mcseboard.de/windows-forum-lan-wan-32/seltsames-ergebnis-nslookup-153341.html Gruß

Der Router muss nur die Verbindung zur Zentrale herstellen. Zywall schau ich mir mal an. Näher in Betracht ziehe auch die 850 ISR Serie von Cisco.

Hallo, am Standort wird ADSL 16000 eingesetzt. Dies ist für den Einsatzzweck auch mehr als ausreichend, da hauptsächlich über Citrix gearbeitet wird.

Hallo, ich bin auf der Suche nach einem VPN Router um einen kleinen Aussenstandort ( ca. 5 Clients ) anzubinden. Der Router sollte auf jeden Fall mit einem Checkpoint VPN Gateway funktionieren. Mit der Checkpoint UTM Appliance habe ich bisher schlechte Erfahrungen gemacht ( schlechte Performance, häufige Abstürze ). Die Telekom bietet für solche Zwecke einen Lancom VPN Router an. Was haltet ihr davon, bzw. welches Gerät würdet Ihr empfehlen? Desweiteren hätte ich noch eine Frage zur Absicherung des Standortes. Der Standort darf ausschließlich eine Verbindung zu unserer Firma aufbauen. Andere ein- und ausgehende Verbindungen müssen ausgeschlossen werden. Ist ein einzelner VPN Router dafür ausreichend, oder sollte dafür zusätzliche Hardware am Aussenstandort aufgebaut werden? Viele Grüße

"show env all" liefert folgendes zurück: FAN is OK TEMPERATURE is OK POWER is OK RPS is NOT PRESENT

Hallo, die Catalyst 3750 Switche erzeugen ab einem bestimmten Temperatur Schwellwert einen Syslog Eintrag. Wie sieht es bei den Catalyst WS-C3560-24PS -- IOS Version 12.2(35)SE5 und bei dem WS-C2960-24PC-L -- IOS Version 12.2(44)SE2 aus? Grüße

nein, der Server hatte zwar die richtige Zeit, aber die Clients haben ständig eine falsche Uhrzeit angezeigt. Unsere Switche können sich allerdings nicht die Zeit vom DC Controller ziehen. Trage ich einen anderen internen NTP Server ein ( Linux ) dann funktioniert das ganze :confused:

The command completed sucessfully. Auf dem DC haben wir jetzt testweise einen internen NTP Server eingetragen, seitdem funktioniert das ganze ohne Probleme.

der PC ist Mitglied einer Domäne. Allerdings bekomme ich vom DC nicht immer die korrekte Zeit. Ist es ein Problem, wenn ich mir die Zeit mitttels w32time ziehe ( auch wenn die Clients in der Domäne eingebunden sind )?

Hallo Sunny61, danke für den Tipp mit den Boardmitteln. Nachdem der Dienst "Windows Zeitgeber" konfiguriert wurde, funktioniert nun auch der Abgleich. Danke

Hallo, wo kann ich denn unter XPPro mit den Boardmitteln einen Zeitserver eintragen? Grüße

Hallo, ich bin auf der Suche nach einem NTP Client Programm für Windows XP Pro. Kennt jemand ein Freeware Tool, welches dafür geeignet ist? Grüße

Hallo, wir haben hier genau das gleiche Problem ( IE7 und ISA 2006 ).Der Fehler tritt aber nur bei google.de auf. Firefox und IE8 machen allerdings keinerlei Probleme. Gruß

den AP habe ich folgendermaßen wieder zum Laufen gebracht ap: format flash: ap: tftp_init ap: ether_init ap: set IP_ADDR 10.0.0.1 ap: set NETMASK 255.255.255.0 ap: tar -xtract tftp://10.0.0.2/image-name flash: ap: boot Vielen Dank für die Hilfe

danke, werde das morgen mal testen.

kein Router dazwischen. Laptop und AP sind mittels eines Switches verbunden. Testweise habe ich auch ein Crossover Kabel angeschlossen, was allerdings auch nicht den gewünschten Effekt brachte ( gleicher Fehler ). Der AP ist nicht pingbar. Den Befehl copy tftp:// .... kennt der AP in seinem jetzigen Zustand nicht.