mr-windows

Hallo, poste bitte mal deine Config vom BRI-Interface und den Dialern. Dann wäre noch ein "show isdn history detail (Nummer des BRI-Interfaces)" sinnvoll. Bei welchem Anbieter bist du? Nutzt du dort eventuell eine Festnetz-Flatrate und baust darüber Datenverbindungen zu einem anderen Standort auf? Ich hatte mal einen ähnlichen Fall bei Arcor. Dort steht in den AGB eindeutig, dass du die Flatrate nicht für Datenverbindungen benutzen darfst. Demzufolge haben sie dann ISDN-Datenverbindungen in (un)-regelmäßigen Abständen getrennt. Gruß

Hallo, konnte das Problem jetzt lösen. Speziell für solche Anwendungsfälle gibt es bei Cisco ein Feature das sich "hairpin routing" nennt. Router and VPN Client for Public Internet on a Stick Configuration Example - Cisco Systems Hier wird der Internet-Traffic per "ip policy" über ein loopback-Interface umgeleitet in dem man dann "ip nat inside" setzen kann. Funktioniert wunderbar. Gruß & Danke

wenn du die IP des Routers in deinen Browser eingibst kommt da schon dieses "Cisco Bild" oder siehst du gar nichts (time out)? Gruß Schau mal hier: http://www.mcseboard.de/cisco-forum-allgemein-38/sdm-startet-router-876-a-152969.html

Hallo, wenn du aus 192.168.1.0 auf den Cisco zugreifen willst, dann braucht der Router (das Gateway) für 192.168.1.0 eine Route zu deinem Cisco-Router. Wenn das Interface 192.168.2.0/24 nicht genutzt wird, wozu ist dann der Cisco da? Erstmal zum testen? Gruß Christian

Guten Morgen, nur noch mal zum besseren Verständnis hier die aktuelle Config: externes Interface (hier terminiert der IPSEC-Tunnel): interface Vlan2 description Arcor IB 2000/192 static ip address xxx.xxx.xxx.194 255.255.255.248 ip access-group 100 in ip access-group 100 out ip nat outside ip virtual-reassembly ip tcp adjust-mss 1272 crypto map static internes Interface: interface BVI1 description LAN/WLAN Segment xxxxxxx ip address 192.168.100.200 255.255.255.0 ip access-group 100 in ip access-group 100 out no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect firewall_1 in ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1300 NAT: ip nat inside source route-map NAT_DSL interface Vlan2 overload access-list 110 deny ip 192.168.100.0 0.0.0.255 10.10.12.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 110 permit ip 10.10.12.0 0.0.0.255 any ! route-map NAT_DSL permit 10 match ip address 110 match interface Vlan2 Der Zugriff vom Client ins LAN und umgekehrt funktioniert einwandfrei. Nur ins Internet geht´s eben nicht. Nach meinem dafürhalten deshalb, weil ich dem Router nicht sagen kann, dass der Traffic aus 10.10.12.0 (sofern er ins Internet geht) für NAT interessant ist. Ich müsste dem Router ja irgendwie sagen können, dass 10.10.12.0 ein "internes Interface für NAT" ist (wie bei VLAN 1 auch). Nur kann ich ja für die 10.10.12.0 (quasi das VPN-Interface) nirgendwo "ip nat inside" setzen, da ich kein (virtuelles) Interface für den VPN-Tunnel habe (oder sehe ich das vollkommen falsch?). Bei einem PPTP-VPN das auf dem gleichen Router funktioniert das einwandfrei, da ich hier die Möglichkeit habe im Virtual-Template "ip nat inside" zu setzen: interface Virtual-Template1 ip unnumbered BVI1 ip access-group 100 in ip access-group 100 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow peer default ip address pool VPN compress mppc ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ppp ipcp dns 192.168.100.200 Bitte korrigiert mich wenn ich da was falsch sehe. Danke & Gruß

Hallo, falls ich dich falsch verstanden haben sollte korrigiere mich bitte. Dein C1812 hängt in einem Netz mit weitere(n) Router(n). Wenn du dich einfach z. B. über einen Switch mit deinem PC ins Netzwerk hängst funktioniert der Zugriff auf den Cisco. Wenn du dich jedoch DIREKT an den Cisco hängst funktioniert kein Zugriff. Hast du dir wenn du dich direkt an den Cisco hängst an deinem PC eine statische IP eingerichtet (z. B. 192.168.0.5)? Der Cisco weist dir nämlich keine IP zu, da (noch) kein DHCP-Server konfiguriert ist. (Cisco IOS DHCP Server - Cisco Systems) Wenn du dann noch in deinem Client als Gateway die IP vom Cisco einträgst kannst du den Router unter beiden eingerichteten IP´s erreichen. Du sprichst immer von zwei Netzen. 192.168.0.0/24 und 192.168.1.0/24. In deinem Router ist jedoch 192.168.2.0/24 konfiguriert. Ist das Absicht oder eventuell ein Fehler? Gruß

Hallo Iceman7, poste bitte mal deine aktuelle Config. Ohne genaue Info´s wird dir schwer zu helfen sein ;) . Gruß

Hallo, vielen Dank blackbox und Franz2 für eure Antworten. Das NAT für das VPN-Netz habe ich dann noch verboten - konnte den "ip nat outside" erstmal ohne Probleme rausnehmen (läuft in einer Testumgebung). Mir stellt sich jetzt noch folgendes Problem: Wenn ich vom VPN Client ins Internet möchte bekomme ich keine Verbindung (Internetzugang soll explizit über den VPN-Router laufen). Der Router "NATtet" die Pakete vom VPN-Netz zum Outside-Interface nicht, weil er nicht weis, dass er sie natten soll. Ich kann ja z. B. im VLAN 1-Interface (LAN) per "ip nat inside" festlegen, dass dies ein internes Interface ist. Folglich weis der Router, dass dieser Traffic überhaupt für NAT interessant ist. Da der IPSEC-Tunnel ja aber nicht auf ein spezifisches Interface terminiert (so wie z. B. ein PPP-Tunnel auf ein VirtualTemplate) kann ich kein "ip nat inside" setzen. Wie sage ich dem Router also, dass der Traffic aus 10.10.12.0 (als quasi internes Netz) für NAT interessant ist (die Router-Config ist bis auf die Änderungen von franz2 gleich geblieben)? Schönen Sonntag noch :) Danke & Gruß

Hallo, konnte das Problem nach etlichen Test´s beheben. Wen´s interessiert: Es lag am NAT. In der Config ist das "externe" Interface auf dem auch der Tunnel terminiert auf "ip nat outside" gestellt. Dadurch wurden die Anfrage aus dem Tunnel bzw. die Antworten falsch übersetzt. Nach Entfernung des Befehl´s ging es dann einwandfrei. So ein dummer Fehler... Wenigstens habe ich mich mal drei Tage intensivst mit Cisco VPN beschäftigt :D Gruß Christian

interface Vlan2 description Arcor IB 2000/192 static ip address xxxxxxxxxxx xxxxxxxxxxxxxxx ip access-group 100 in ip access-group 100 out ip nat outside ip virtual-reassembly ip tcp adjust-mss 1300 crypto map static ! interface BVI1 description LAN/WLAN Segment xxxxxxxxxxxxxxxxxxx ip address 192.168.100.200 255.255.255.0 ip access-group 100 in ip access-group 100 out no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip inspect firewall_1 in ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1300 ! ip local pool IPSEC 10.0.5.1 10.0.5.10 ip local pool VPN 10.10.10.10 10.10.10.20 ip local pool vpnpool 10.10.12.1 10.10.12.5 ip local pool vpnpool 10.10.12.10 10.10.12.100 ip route 0.0.0.0 0.0.0.0 "WAN-Gateway" ! ip dns server ! no ip http server no ip http secure-server ip nat inside source route-map NAT_DSL interface Vlan2 overload ip nat inside source static tcp 192.168.100.10 1175 xxxxxxxxxxxxx 1175 extendable ! ip access-list extended IPSEC permit ip 10.0.5.0 0.0.0.255 any ! logging trap debugging logging xxxxxxxxxxxxxx access-list 1 permit 192.168.100.0 0.0.0.255 access-list 2 permit "WAN-Netz" xxxxxxxxxxxxx access-list 4 permit 10.10.12.0 0.0.0.255 access-list 5 permit 10.10.10.0 0.0.0.255 access-list 100 remark ACL General LAN / WAN access-list 100 permit ip any any access-list 100 permit tcp any any access-list 100 permit udp any any access-list 100 permit ip 10.10.12.0 0.0.0.255 any access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq echo access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq cmd access-list 101 permit tcp any any eq whois access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq 443 access-list 101 permit tcp any any eq 22 access-list 101 permit udp any any eq non500-isakmp access-list 101 permit udp any any eq isakmp access-list 101 permit icmp any any access-list 101 permit udp any any eq bootps access-list 101 permit tcp any any eq 3389 access-list 101 permit udp any any eq ntp access-list 101 permit tcp any any eq 1723 access-list 101 permit gre any any access-list 101 permit tcp any any eq 3306 access-list 101 permit tcp any any eq 6789 access-list 101 permit tcp any any eq 1099 access-list 101 permit udp any any eq 4288 access-list 101 permit tcp any any eq 3128 access-list 101 permit esp any any access-list 101 permit tcp any any eq 3544 access-list 101 permit udp any any eq 3544 access-list 101 remark xxxxxxxxxxxxxxxxxxxxxxx access-list 101 permit tcp any any eq 1175 access-list 101 permit udp any any eq 1175 access-list 101 permit udp any any eq syslog access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 110 permit ip 10.10.12.0 0.0.0.255 any ! ! ! route-map NAT_DSL permit 10 match ip address 110 match interface Vlan2 ! ! control-plane ! bridge 1 protocol ieee bridge 1 route ip

isdn switch-type basic-net3 ! ! username xxxxxxxxxxxx password xxxxxxxxxxxxx username xxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxx username xxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxx ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp client configuration address-pool local vpnpool ! crypto isakmp client configuration group vpn key xxxxxxxxxxxxx domain xxxxxxxxxxxxxxx pool vpnpool include-local-lan split-dns dns netmask 255.255.255.0 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set ts1 esp-aes esp-md5-hmac ! crypto dynamic-map dynmap 10 set security-association idle-time 3600 set transform-set ts1 reverse-route ! ! crypto map mymap client authentication list local_auth crypto map mymap isakmp authorization list vpn crypto map mymap client configuration address respond crypto map mymap 1000 ipsec-isakmp dynamic dynmap ! crypto map static client authentication list local_auth crypto map static isakmp authorization list vpn crypto map static client configuration address initiate crypto map static client configuration address respond crypto map static 10 ipsec-isakmp dynamic dynmap ! bridge irb ! ! ! interface BRI0 no ip address encapsulation hdlc shutdown isdn switch-type basic-net3 isdn point-to-point-setup ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface FastEthernet0 switchport access vlan 2 speed 10 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Virtual-Template1 ip unnumbered BVI1 ip access-group 100 in ip access-group 100 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow peer default ip address pool VPN compress mppc ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ppp ipcp dns 192.168.100.200 ! interface Dot11Radio0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef no ip route-cache shutdown ! broadcast-key change 300 membership-termination ! ! encryption mode ciphers tkip ! ssid xxxxxxxxxxxxxxxx max-associations 5 authentication open authentication key-management wpa wpa-psk ascii xxxxxxxxxxxxxxxxxxxxxxxx ! speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 rts threshold 2312 station-role root payload-encapsulation dot1h dot1x reauth-period server no cdp enable bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 spanning-disabled bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Vlan1 no ip address bridge-group 1 !

Hallo zusammen, sitze seit zwei Tagen an einem kleinen, bösen Problem und komme nicht weiter. Folgende Situation: Ich baue vom CISCO VPN Client eine IPSEC-Verbindung zum Router auf (C876 - c870-adventerprisek9-mz.124-6.T6.bin, bei einer älteren IOS-Version besteht das Problem auch) Funktioniert soweit alles bestens. Ich kann vom VPN Client immer die Router-Interfaces anpingen - alles was im LAN hinter dem Router liegt jedoch nur sporadisch. Wenn der Ping dann doch mal durchgeht funktioniert er auch dauerhaft. Ich kann problemlos und performant von Clients im LAN auf den VPN-Client zugreifen. Andersherum (vom VPN-Client ins LAN) funktioniert es jedoch nicht. Access-Listen kann ich ausschließen, da ich sogar schon testweise mal alles auf "permit" gestellt habe. MTU usw. hab ich getestet (siehe ip tcp adjust-mss auf den Interfaces). Nichts desto trotz gibt´s hier die Config. Würde mich freuen, wenn jemand eine Idee hätte. Gruß Christian ! ! Last configuration change at 09:34:13 Berlin Thu Jun 18 2009 by ! NVRAM config last updated at 17:40:10 Berlin Wed Jun 17 2009 by ! version 12.4 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname xxxxxx ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 no logging buffered enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx ! aaa new-model ! ! aaa authentication login rtr-remote local aaa authentication login local_auth local aaa authentication ppp default local aaa authorization network vpn local ! aaa session-id common ! resource policy ! clock timezone Berlin 1 clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 dot11 activity-timeout unknown default 1000 dot11 activity-timeout client default 28800 no ip source-route no ip gratuitous-arps ip cef ! ! ! ! ip domain name xxxxxxxxxxxxxxxxxxxxxx ip name-server 145.253.2.11 ip name-server 145.253.2.75 ip ssh time-out 60 ip ssh authentication-retries 1 ip ssh version 2 ip inspect name firewall_1 cuseeme ip inspect name firewall_1 dns ip inspect name firewall_1 esmtp ip inspect name firewall_1 ftp ip inspect name firewall_1 ftps ip inspect name firewall_1 h323 ip inspect name firewall_1 http ip inspect name firewall_1 https ip inspect name firewall_1 icmp ip inspect name firewall_1 imap ip inspect name firewall_1 imap3 ip inspect name firewall_1 imaps ip inspect name firewall_1 isakmp ip inspect name firewall_1 ntp ip inspect name firewall_1 pop3 ip inspect name firewall_1 pop3s ip inspect name firewall_1 realaudio ip inspect name firewall_1 snmp ip inspect name firewall_1 sqlnet ip inspect name firewall_1 syslog ip inspect name firewall_1 tcp ip inspect name firewall_1 time ip inspect name firewall_1 udp ip inspect name firewall_1 wins ip ips notify SDEE vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 !

Hallo, ich benutze das Tool toolstar*shredder ToolHouse DV-Systeme - kostet zwar ein wenig ist aber absolut Spitze. Musst halt schauen ob sich das für dich rechnet. Gruß Christian

Hallo, Sehe ich auch so. Die Banken haben meistens eigene Programme für die Business-Kunden (DresdnerBank: Dresdner MultiCash, Sparkasse: SFIRM, usw...). Das SFIRM hatte ich mal bei einem Kunden im Einsatz. Da gibt es einen sog. "SFAutomat". In diesem kann man bestimmte Task´s eintragen u. a. auch das automatische abholen von Kontoauszügen. Falls die Lösung für eine Sparkasse benötigt wird kannst du da mal nachfragen. Ich kann dir aber leider gerade nicht sagen ob das SFIRM Multibanken-fähig ist. (Glaube ich aber fast nicht, da reines Sparkassenprodukt). Hoffe geholfen zu haben. Gruß Christian

Hallo erazer2005, Google und die Boardsuche helfen :rolleyes: : Cisco PIX 500 Series Security Appliances Configuration Examples and TechNotes - Cisco Systems http://www.mcseboard.de/cisco-forum-allgemein-38/pix-501-pppoe-dyndns-34951.html Gruß Christian

Hallo cellarkid, vor einiger Zeit habe ich auch mal einen David Server betreut. Der Spamfilter lässt sich (wenn ich mich richtig erinnere) pro Mailbox in den Eigenschaften des jeweiligen User´s aktivieren (im DVISE). Nach meinem Kenntnisstand kostet der pro Monat und User 0,70 € netto und wird über diesen "Tobit-Club" abgerechnet. Wenn du noch mehr Info´s brauchst gib einfach ein Feedback ;) Gruß Christian

Hallo olc, vielen Dank. Dein Tip war die Lösung. Ich hatte es vorher schon mit einem Registry-Tracker versucht aber bei der Vielzahl der Zugriffe im laufenden Betrieb -> keine Chance. Der richtige Key zum deaktivieren des Event Trackers bei Windows Server 2003 lautet: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Reliability Value Name: ShutdownReasonOn Data Type: REG_DWORD Value: 0 Gruß Christian

Hallo, Das ist nicht falsch, das ist eine andere Möglichkeit. Ok. Dann muss doch aber auch der generierte private Schlüssel auf den zu sichernden Server kopiert werden, oder? @ Norbert - wenn ich was falsch verstanden haben sollte, klär mich bitte auf ;) Gruß Christian

gerne doch :D auf dem Exchange (bzw. auf dem Server auf dem OWA gehostet wird). Denn das ist ja der "Endpunkt" für die verschlüsselte Kommunikation. Du musst natürlich auch die CSR (Zertifikatsanforderung) im IIS auf dem OWA-Server erstellen. Gruß Christian

Hallo, also wir haben das neulich so gemacht: Unter dem Firmen-Domain-Namen eine Sub-Domain einrichten z. B. owa.test.de (geht bei jedem halbwegs professionellen Hoster) Dann per A-Record im DNS die owa.test.de auf die öffentliche IP zeigen lassen. Zertifikat auf owa.test.de registrieren - fertig. Wenn du das Zertifikat von einer "offiziellen" Zertifizierungsstelle ausstellen lässt wird es nur im Browser gepüft bzw. mit den offiziellen CA-Listen abgeglichen. Somit wird das Zertifikat ohne murren von deinen Clients akzeptiert. Gruß Christian

Hallo Leute, ich stehe gerade vor einem ziemlich lästigen Problem. Für einen speziellen Anwendungsfall ist es erforderlich den Windows Event Tracker per Registry zu deaktivieren. Im Forum und im Web wird ja die Möglichkeit über den Reg-Key HKEY_L_M\Software\Microsoft\Windows\CurrentVersion\Reliability -> ShutdownReasonUI - Value 0 - diskutiert Dies funktioniert aber leider nicht (Windows Server 2003 R2 englisch). Im Internet wird noch die Möglichkeit der Deaktivierung per Group Policy diskutiert. Ich muss die Deaktivierung aber per Script steuern. Die Server sind Stand-Alone und die Scripte werden per DVD eingespielt. Hat jemand eine Idee? Gruß Christian

genau das meinte ich. Wir hätten "verzahnen" vorher definieren sollen :D @ smartino Hast du die Möglichkeit das einfach mal zu testen? Sollte ja nicht so aufwendig sein... Gruß Christian

Hallo, @ virtuelle Lösung steht so in meinem Post. In diesem Fall kann es vorkommen, dass sich die Druckjobs verzahnen. Gruß Christian PS: bin mir jetzt nicht ganz sicher ob man das Verzahnungsproblem mit Boardmitteln lösen kann. Mache mir dazu noch mal Gedanken :)

Hallo, folgendes ist mir eben beim Lesen spontan eingefallen: Es kann ja theoretisch vorkommen, das ihr die Drucker mal tauschen müsst. Daher halte ich eine herstellerbasierte Lösung nicht unbedingt für praktikabel. Richte doch auf einem Windows-Server die entsprechenden Drucker für jeden Benutzer ein (Benutzer 1 -> Drucker_Benutzer1 - z.B.) - wie man es z. B. auch zum Ansteuern von mehreren Fächern manchmal macht. Jeder Benutzer verbindet sich "seinen virtuellen" Drucker und hält ihn anschließend an ("Drucker anhalten"). Der Benutzer kann nun alle Jobs in die Druckwarteschlange drucken und wenn er Zeit hat entfernt er den Haken bei "Drucker anhalten" und schon rattert der Drucker los. Ich gehe hierbei davon aus, dass die obigen Schritte (anhalten, nicht anhalten) von der Workstation des jeweiligen Benutzers ausgeführt werden. Diese Möglichkeit soll aber nur einen Ansatz darstellen, weil es dennoch passieren kann das Druckjobs vermischt werden wenn zwei Benutzer gleichzeitig "den Haken entfernen". Wenn ich was falsch verstanden haben sollte "scheltet" mich ruhig :D Gruß Christian

Hallo, dafür gibt es eine .BMP Datei im Programmordner des VPN Client´s. Achte aber darauf, dass die neue BMP-Datei (mit deinem Logo) genau so groß ist (Pixel x Pixel) wie die originale. Man kann da auch noch andere Icons, Logos, Schaltflächen anpassen. Schau einfach mal in die Ordner. Gruß Christian