HenryNo1

Hi Fu,

den Gedanken mit dem Reread kannste getrost wieder verwerfen. Ich kenne eine Menge Leute, die das gemacht haben. Erfolg hatte keiner. Im Gegenteil - meistens gabs hinterher weniger Punkte als davor :suspect:

Wer war denn Dein Proctor? Eric oder Gerd? Eric ist ganz OK, der gibt wenigstens normale Antworten wenn man nicht allzu doofe Fragen stellt.

Die Auswertung der Tests erfolgt automatisiert, der Proctor schaut nur in besonderen Fällen drüber.

CYa HenryNo1

Hi Fu,

Hab das Security-Lab hinter mir - leider erfolglos.

Nachdem das Lab am 02.01. komplett umgestellt wurde, liegt das Vorhaben bei mir bis auf Weiteres auf Eis :(

Hab auch in nem Teilbereich 0 Punkte bekommen, obwohl alles funktioniert hat....

Aber Du hast leider keine Möglichkeit zu erfahren, was falsch gelaufen ist.

Naja, vielleicht kann ich mich durchringen, den Schmarrn nochmal zu versuchen.

Normalerweise ist das Lab gesteckt voll mit Kandidaten. Ich kann mir nur vorstellen, dass viele im Januar noch keinen Bock haben, vor allem die Security-Leute.

Ich wünsch Dir auf jeden Fall viel Glück und Erfolg bei den nächsten Versuchen.

CYa HenryNo1

Gib ein: "no ip domain lookup" und die "Vertippergeschichte" ist Geschichte :-)

mit line con 0 --> no logging synchronous sollten auch die Log-Meldungen weg sein.

CYa HenryNo1

@Data1701:

Ich hab bisher weder den PDM noch sonst irgend eine Browser-basierte Konfigurationsgeschichte benutzt. Ich komme mit dem IOS bzw PIX-OS sehr gut zurecht, von daher ist mir das bedeutend lieber. Da weiß ich wenigstens, was alles konfiguriert ist.

Da ich täglich damit arbeite, ist das kein Problem.

Ich hab einmal einen 800er mit dem entsprechenden Bunti-Tool konfiguriert. Funktioniert hat er erst, als ich alles manuell eingegeben habe :cool:

CYa HenryNo1

Um auch die dahinterliegenden WAN-Interfaces in den HSRP-Prozess einzubinden, kannst Du den "standby track"-Befehl verwenden. Dann wird bei Ausfall der WAN-Leitung die HSRP-Priority entsprechend nach unten "korrigiert".

cYa HenryNo1

Also die PIX 501 ist schon OK, sofern man mit dem Teil umgehen kann. Soll heissen, als absolut unbedarfter User kannst das Ding vergessen.

Mit dem Wizzard kann man die PIX zwar konfigurieren, ich persönlich steh aber nicht so auf Klicki-Bunti.

Ich nutze die PIX daheim und bin sehr zufrieden.

CYa HenryNo1

Hi Hooker,

die alten Einträge müssen auf alle Fälle entfernt werden.

Du kannst bei der PIX mehrere Default-Routen einrichten.

Überprüfe in dem Zusammenhang auch, ob alle Access-Listen bzw.

conduit-Einträge, global-Einträge etc. noch passen.

CYa HenryNo1

Hallo Stuffy,

die Software ist nicht mehr unbedingt nötig.

Mittlerweile gibt es den PDM (Pix Device Manager), der via http funktioniert (oder war es https ).

Er muss direkt auf der PIX installiert sein, dann muss eine interne IP-Adresse als Manager angelegt sein, und schon funktioniert der Zugriff.

Schau mal auf der Cisco-Page nach, da steht exakt, wie die Einrichtung und der Zugriff funktioniert.

Viel besser ist aber, wenn die PIX per Console konfiguriert wird, da der Manager manchen Eintrag einfügt, der komplett unnötig ist.

CYa HenryNo1

Hi,

was für L3-Switche hast Du denn?

Ich hab nur Erfahrung mit Accelar1200, aber die sind glaub nicht mehr ganz aktuell :p

Ansonsten ist zu den Geräten nicht so viel zu sagen....sind einfach nur Switche mit Routingfunktion. Also eigentlich nix dramatisches.

Ich war damals von den Nortel Teilen recht überzeugt, ich fand sie auch einfach zu administrieren.

Das ist allerdings schon 4 Jahre her.

CYa HenryNo1

Hi Michi,

wie phOenix schon geschrieben hat, gibts die Software nicht ohne weiteres.

Dass bei einem neuen Gerät die aktuelle SW dabei sein sollte ist irgendwo logisch.

Du bist aber in einem Bereich tätig, der sehr schnellen Änderungen unterliegt. Nicht selten kommt alle paar Wochen ein neues Release raus.

Du kannst höchstens über den Händler, bei dem Du das Gerät bezogen hast, versuchen, an die aktuelle SW zu kommen.

CYa HenryNo1

Hi Surfels,

Du kannst natürlich die IP-Adresse der PIX verändern.

Du musst nur schauen, welche Abhängigkeiten dadurch verletzt werden (PDM-Manager etc.).

In der Fehlermeldung steht eigentlich immer genau drin, was falsch ist. Hast Du die Netzmaske auch angegeben??

Ist das Netz intern/extern gleich usw.

Es gibt also eine Menge Fehler, die Du einbauen kannst.

Schau einfach mal bei Cisco vorbei und nutze dort die Suchfunktion.

CYa HenryNo1

Hi,

das Outside-Interface mit dem DSL-Modem verbunden funktioniert die DSL-Einwahl natürlich....vorausgesetzt Du hast PPPoE konfiguriert. :cool:

Meine Konstellation vom Provider her gesehen: DSL-Modem - PIX - Rechner.

Ist alles gar kein Problem und funktioniert wirklich gut.

Und wie gesagt, das Ding hat für Inside 4 Switchports zur Verfügung.

Solltest Du irgendwann mal ne Einwahlmöglichkeit brauchen, kannst Du immer noch nen Router hinstellen.

CYa HenryNo1

Hi,

gib mal statt echo ein echo-reply ein. Dann sollte es klappen.

CYa HenryNo1

Hi Michi,

Deine Angaben sind da recht dürftig....

Willst Du nur tunneln oder die Tunnel auch verschlüsseln?

Welcher Verkehr soll getunnelt werden, welcher nicht....

Wenn Du genaue Infos möchtest, am Besten mit Beispielkonfigurationen dann schau bitte bei

cisco nach.

CYa HenryNo1

Hi,

verwendest Du NAT??

Wenn nicht, dann muss der Befehl NAT(inside) 0 0 0 gesetzt werden.

Damit wird der ASA aktiviert.

CYa HenryNo1

Hi,

ich hab bei mir daheim eigentlich nur die PIX501 hängen.

Da die Kiste einen 4-fach Switch integriert hat, brauchst Du keinen separaten Switch mehr (3 Rechner + Verbindung ins Internet).

Bei einer benötigten ISDN-Einwahlmöglichkeit kommt halt noch ein entsprechender ISDN/DSL-Router dazwischen. Da hat sich bei uns in der Firma der 1750er bewährt. Der ist modular und kostet nicht die Welt.

CYa HenryNo1

Hi Cort,

wenn Du unbedingt eine DSL-Leitung für die User verwenden möchtest, dann nimm halt für die PIX ein Interface mehr.

Du hast dann Outside, Inside, DMZ und z.B. Internet.

Dann bist Du wieder beim selben Ergebnis.

Es gibts unterschiedliche Konzepte für Firewall-Designs....

ein zweistufiges Design, bei dem 2 unterschiedliche FW´s zum Einsatz kommen, würde ich nur bei wirklich gefährdeten Netzen einsetzen.

Wenn´s "nur" um Webserver etc. geht, dann würde ich persönlich nur eine FW einsetzen.

Sinn macht dies aber nur dann, wenn Du 2 unterschiedliche Konzepte der FW verwendest. z.B ne Checkpoint und ne PIX.

Sicher ist das Ganze mit einer Firewall natürlich schon, aber eben nicht so sicher wie mit zweien.

CYa HenryNo1

Ach ja, fast vergessen....

sorry, aber das mit dem DSL-Router ist kompletter Unfug....

damit schaffst Du Dir nur eine Hintertüre um die FW´s zu umgehen.

Bilde das Ganze mit einer Firewall und einem Router ab.

Verwende vernünftige Geräte, dann passt das auch.

Scheinbar ist es nicht so ne High-Secure Geschichte, dass Du eine zweistufige FW-Lösung brauchst.

CYa HenryNo1

Hi,

kann mich markber nur anschließen:

konfiguriere die PIX besser über die Konsole.

Mit dem PDM kannst Du eh nicht alles "erschlagen".

Ausserdem weißt DU nicht, was dann am Ende wirklich konfiguriert ist.

Infos gibts auf http://www.cisco.com - in Englisch ;)

CYa HenryNo1

Hi Cort,

die zweite FW kannst Du Dir eigentlich schenken.

Wenn Du eine Maschine mit mehreren Interfaces hast, kannst Du alles damit abbilden:

Eth0: Outside

Eth1: Inside

Eth2: DMZ

Mit der entsprechenden Konfiguration kannst Du die Kommunikation zwischen den Interfaces entsprechend einschränken.

Hinsichtlich des Modells ist es eher schwierig. Wenn nur 1-3 MA damit arbeiten, würde eine 501 reichen.

Wenn es entsprechend skalierbar sein soll, dann nimm eine 515er.

Der Vorteil: Du kannst noch Interfaces nachrüsten und wenn Du die unrestricted Version nimmst, kannst Du auch Failover nutzen (nur in Verbindung mit einer FO-Pix).

Die 501er ist eher die Home-Office-Variante.

Hoffe geholfen zu haben

CYa HenryNo1

Hi dieter1980,

zu1.: mach ne Password-Recovery, dabei werden die Daten auch

gelöscht und Du hast nen "jungfräulichen" Router.

zu2.: Ja, per Telnet, dazu musst Du aber die IP-Adresse

konfigurieren oder zumindest wissen, welche konfiguriert ist.

zu3.: ebay oder selber machen ;)

Kabelbelegung auf cisco suchen

gehen.

CYa HenryNo1

Hilfe Hilfe,

was willst Du denn wissen??? :D

Etwas genauere Angaben wären schon von Vorteil! ;)

Wenn´s "nur" um die Bücher geht, kann ich Dir leider nicht helfen.

CYa HenryNo1

Hi,

du kannst die Zertifizierung natürlich auch als reine Theorie durchprügeln.

Bringen tuts Dir aber leider gar nix....denn nur mit dem theoretischen Wissen kommst Du nicht sehr weit.

--> meine Meinung :shock:

Du solltest zumindest die Dinge, die Du in den Schulungen lernst, mal in der Praxis durchprobieren und ne zeitlang damit "spielen".

Allerdings würde ich ein Jahr als völlig ausreichend sehen. Voraussetzung wiederum siehe oben.

Ich kenne Leute, die für den CCIE gerade mal 3 Monate gebraucht haben ;)

Auf alle Fälle wünsche ich Dir viel Erfolg bei Deiner Ausbildung!

CYa HenryNo1

Hi Arpma,

kann Dir diesbezüglich leider keine Hilfe leisten....

wir nutzen auch eine eigens entwickelte Datenbank....

Frag aber bitte nicht, worauf dies basiert

Ich kenn mich mit Datenbanken leider

(oder Gottseidank :suspect: ) nicht aus.

CYa HenryNo1

Hi,

die IOS-Versionen kannst Du entweder bei einem Distributor kaufen, oder Du hast einen CCIE-, oder einen Gold-Partner-Account ;)

Die Software kostet richtig Geld und in den "CCO-Kanal" kommst Du eben nur mit entsprechendem Account rein.

CYa HenryNo1