-
Gesamte Inhalte
352 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mr._oiso
-
-
Hi grizzly999
thx for your answer !
Jedoch das Protokoll 50 kann man nicht forwarden.
Protokolle können scheinbar generell nicht auf Netgear-Router
geforwarded werden.
Das Problem ist eher, das ich nicht weiß was in der Policy auf dem
Router "Named IPSEC ESP" schon alles an Ports oder Protokollen
enthält. IPSEC ESP ist eine vorgefertigte Policy, welche man
direkt auf dem Router aktivieren kann.
Zusätzlich habe ich noch Port 500 ESP-IPSEC und NAT-T 4500
geforwarded, aber nichts geht.
Gleiches habe ich auch auf einem anderen Netgear, auf dem ich
PPTP versucht hatte. Auf die gleiche weise mit einer PPTP-Policy
zum forwarden. Aber auch hier läuft es nicht.
Im Lan ist es kein Problem den PPTP-Server anzusprechen, aber via WAN ist kein drankommen. Bei PPTP z.B. wäre es dann das GRE Protokoll 47, welches eventuell nicht läuft.
Auf der Watguard kann man nicht mal auch nur annähernd was von IPSEC im Log sehen !
Vielleicht hat ja jemand schon mal Erfahrungen mit den Netgear
Routern gemacht.
Danke
Gruß
Mr. Oiso
-
Hallo Forum,
ich habe ein Problem mit meinem Netgear RP614v.2
Firmeware 5.2RC1 deutsch.
Ich möchte gerne einen VPN IPSEC-ESP von extern
über das Internet auf eine Watchguard Firebox
über ein Portforwarding auf den Router herstellen.
Konfiguration:
Watchguard VPN Client 6.1.3
Phase 1: Pre Schared Key, DES, SH1
Phase 2: IPSEC-ESP, 3DES, SH1
Router:
Portforwarding:
ESP-IPSEC Port500 auf die Firewall
NAT-T Port4500 auf die Firerwall
DYNDNS aktiviert
Watchguard:
Watchguard VPN Mobile User eingrichtet.
Mein Problem ist der Router leitet die IPSEC
Packete nicht weiter, in meinem Firerwall Log
sehe ich keine incoming Protokolle.
Ohne Router kann ich die Vpn Verbindung aufbauen.
Da die Watchguard kein dyndns unterstützt brauch ich den Router.
Gruß
Olaf
-
Hallo Dieter
Erstmal ein nützlicher Link
Damit solltest Du in der Lage sein einen DSL connect zum Provider
aufzubauen. Wenn Du diesen dann erstmal stehen hast, dann kommenwir natürlich zum VPN Programm.
Damit meine ich, dass VPN prinzipiel möglich ist.
Hierfür wäre es aber von Vorteil, wenn wir wüßten, welches
IP-Feature-Pack sich auf dem Router befindet.
Dazu solltest Du via telnet mal auf den Router gehen und
"show version" eingeben.
Wenn dort etwas wie c800-k9nosy6-mw.122-13.T8.bin steht,
dann sieht es schon mal gut aus !
Gruß
Mr. Oiso
-
Hi Forum
hi@all
Wer hat schon mal VMPS auf Cisco Kompunenten konfiguriert ?
Habe das Problem, dass ein Cat2950 oder auch 3500xl die
vmps_configuration.db nicht richtig lesen kann.
Wie muss dies Database genau aussehen, wenn eben nicht
nur ein Cat6509diese lesen soll !
Speziell das Mac-Adr. Format würde mich interessieren.
"xxxx.yyyy.zzzz oder doch aa-bb-cc-dd-ee-ff"
Der Catalyst ließt nur 5 lines von meiner Database welche wie folgt aussieht (Ohne Port/Vlan Groups)
vmps domain Meyer
vmps moed open
vmps fallback Unassigned
vmps no-domain-req allow
vmps-mac-addrs
address xxxx.yyyy.zzzz vlan-name IT
Mein Prob.: Das mapping läuft nicht ! Der Host welcher connected wird kommt immer nur in das Vlan Unassigned, nicht aber nach IT !
Außerdem ließt der 6509 nur die ersten 5 lines fehlerfrei.
Nicht aber line 6 !
Was tun ?
Gruß Mr. Oiso
-
Hallo Bieradler
Sorry dass ich mich so lange nicht gemeldet !
Hatte nen "Gelben" und war krank !
port security :
BPDU Guard / Root Guard :
http://www.cisco.com/en/US/partner/tech/tk389/tk621/technologies_tech_note09186a00800ae96b.shtml
Configure ACL´s :
Catalyst Sercurity :
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns294/c643/ccmigration_09186a008014956e.pdf
Schon mal vor ab !
Gruß Mr. Oiso
-
hi fwn
Sorry ! Aber das ?, gibt es nicht in der Prüfung.
In der Regel auch nur Aufbau und Konfiguration.
Fehlersuche macht man im Troubleshooting Kurs (CIT).
Meistens wird der Fehler erklärt oder beschrieben, wonach
Du dann die entsprechenden Konfigurationsänderungen
vornehmen sollst.
Ich hoffe hilft Dir weiter !
Gruß
Mr. Oiso
-
Hallo Scholle
Frank 04 hat da schon teilweise Recht.
Zumindest vom Ansatz her pflichte ich ihm bei.
Intervlan-Routing ist da wohl das Beste.
Natürlich kannst Du aber auch so arbeiten, wie
Du es vorhast. Jedoch würde ich es auch lieber routen.
Die Frage ist aber nun ob Du überhaupt die Mittel und
Hardware dazu hast !
Am besten wäre es wenn Du mal eine Skizze machst,
damit hier jeder weiß, was mit wem und wohin connect
hat.
Ich denke, dass wir hier genug "Cisco Power" auf die Reihe
bekommen, um Dir irgendwie zu helfen.
Gruß
Mr. Oiso
-
Hallo RobD_76
Ich gratuliere !
Sowas liebe ich !
Gruß
Mr. Oiso
-
Hallo Bieradler
Die meisten Features hast Du ja bereits schon angesprochen. Jedoch machen passive Möglichkeiten
zur Absicherung des Netzwerkes auf Layer 2 einen hohen administrativen Aufwand.
Das Pflegen von Access-Listen als Beispiel. Man kann natürlich Mac-Adr. auf port/port-gruppen und
Vlan`s (inbound/outbound) beschränken, oder bei nicht eingetragenen Mac`s ports direkt abschalten
um unerwünschte Host`s zu sperren, was eine hohe Sicherheit schon darstellt.
Jedoch ist diese Sache sehr starr und vor allem statisch. Zum Beispiel ebenfals (Mac-Freeze) was
wohl eher bedeuten soll, die Mac-Tables zu begrenzen, damit sie z.B. nicht mit einer DOS-Attack
geflutet werden können.
Oder als Folge davon port security zu konfigurieren, welche den port schließt wenn ein Max Count
erreicht wurde.
Hierzu gehören auch Methoden wie port protect und oder storm control, um unicast/multicast/broadcast
Schwellwerte zu setzen, wo nach erreichen dieser portaction (filter/shutdown/trap) als mögliche
features zur security zu konfigurieren wären.
Port protection eher zum isolieren von unicast/multicast/broadcast z.B.
Der BPDU Guard ist in jedem Fall eine gute Sache. Hierzu ist natürlich die Notwendigkeit von STP
zu berücksichtigen. Zumindest hätte man damit eine große Sicheheitslücke geschlossen.
Zum Thema Viren/Würmer möchte ich nur auf die neue Kooperation von Cisco mit TrendMicro hinweisen
NAC = Network-Admission-Control welches ein Feature zur Überprüfung von Virenupdates als Zugangs-
vorraussetzung für Netzwerk-Connect bietet. Host welche nicht die zu erfüllenden Anforderungen
mitbringen, werden somit erst garnicht zugelassen, sondern als alternative in eine Art Dummy Vlan
für Updates und Upgrade geschickt, um sich per Policy eine Zugangsvorraussetzung zu schaffen.
Zum Thema Vlan. Mit Vlantechniken, lässt sich ebenfals eine Security-strategie entwickeln.
Jedoch erfordert das wieder Routinginstanzen welche das dann anfallende Intervlan-Routing auch
bewältigen können.
Hierfür wäre auch VMPS eine sehr hilfreiche Sache um von der starren/statischen Konfiguration
wegzukommen. "Vlan Membership Policy Server" Ein Zentrales Verwaltungsorgan, welches das
Mac-to-Valn Mapping erledigt. Hierbei ist es dan egal wann, und wo sich ein Host im Netz Connect
verschaft, er wird immer in das richtige Vlan gelegt. Allerdings lauert auch hier dann das Problem
bei wechselnden Usern am gleichen Host, da nur der Host gemappt wird, nicht aber der User.
Letztendlich erreiche ich die maximale Sicherheit nur mit 802.1x.
Ich werde aber die Tage mal eine Liste zusammenstellen, welche Dir so machne Möglichkeit beschreibt.
Gruß
Mr. Oiso
-
Hallo Bieradler
Deine Frage ist sehr allgemein gehalten.
Allerdings gehe ich mal davon aus, dass es sich bei deinen
Fragen um die Security im LAN handelt.
Deswegen gleich eine Gegenfrage:
Was ist mit passive gemeint ?
Soll das heißen, dass Protokolle wie 802.1x hierbei
nicht zum Einsatz kommen sollen ?
(Radius).
Vor wen und was möchte das LAN geschützt werden ?
Braodcast ? Nicht autorisierte Hosts ? Sniffing ? DoS attacks ?
usw. ?
Gruß
Mr. Oiso
-
Hi Switch
Ich weiß zwar nicht genau mit welcher Hardware und mit
welcher Software Du das betreiben willst, aber in der Regel
ist das eine mögliche Lösung für Dein Problem.
Example
The following example sets the traffic load threshold to 60 percent of the primary line serial 0. When that load is exceeded, the secondary line is activated, and will not be deactivated until the combined load is less than 5 percent of the primary bandwidth.
interface serial 0
backup load 60 5
backup interface serial 1
Für mehr Info`s müßten wir näher ins Detail gehen !
Gruß
Mr. Oiso
-
hi michael
Eine mögliche Ursache für Runts könnte ein defekter Netzwerkadapter sein ! Oder die an ihm eingestellten media-typs
100/10 oder full/half ! Eventuell auch ein Treiberproblem !
In der Regel wurden bei Runts IP-Packete nicht richtig oder falsch Fragmentiert was mehrere Ursachen haben kann.
Runts sind mir bisher nur einmal untergekommen, da handelte es sich aber um eine Linux Machine, mit welcher auch
kein Autonegotiation möglich war. Hier habe ich dann an der Netzwerkkarte die Buffer hochgedreht und sie fest konfiguriert.
100/full z.B. Dabei dann aber denn Cisco Switch auf auto stehen lassen, da sonst immernoch Runts auftraten.
Good luck
Gruß
Mr._Oiso
-
Hallo Blacky_24,
hallo Switch
Wie wäre es, wenn Du durch mehrere Patchkabel
die Dämpfungsreserve reduzierst, womit Du eine
große Distanz an Leitung simulierst.
Was für eine Faser verwendest Du ?
50 oder 62,5 ym ?
Gruß
Mr. Oiso
-
Hallo Milla, Hallo Blacky_24
Kiwi CatTool 2.0.8 ist Freeware und funkt astrein !
http://www.kiwisyslog.com/software_downloads.htm
MfG
Mr. Oiso
-
Hallo ING
Zur Hilfe :
Ich denke dass Du bei der Hyper Terminal Einstellung mal alle
Baud-Raten testen solltest. Es sieht so aus als sei alles o.k.,
nur eben die speed nicht !
Am besten von 1200 - 115200 mal alle nacheinander testen.
Die Emulation lass mal auf Automatische Erkennung.
Bei der Flussteuerung Hardware oder keine !
Für das Unterbrechen des Bootvorgangs unter NT schaltest Du
den Switch aus und wieder ein.
Lass den Terminal laufen und tippe in den ersten 60sec
Steuerung und Pause/Untbr. Danach sollte der Switch im Boot
Menü anhalten.
Nur wirst Du ebenso nichts sehen, Du den ersten Teil nicht zum Erfolg bringst.
MfG
Mr. Oiso
-
Hi sepp
Ist das nicht eine sinnlose Frage ?
CCNA`s etc. und CCIE`s müssen sich eh alle 2 Jahre rezertifizieren.
Deshalb ändert sich die Zahl täglich !
Ausserdem glaube ich, dass es genügend Techniker im EDV-Bereich gibt, welche alle das Zeug zum CCNA haben und es trotzdem nicht sind.
Der CCNA ist mehr oder weniger nur für`s Papier.
Ein Titel, den man bei bestandenen Prüfungen tragen und angeben darf.
Die Zahl der CCIE`s so habe ich mir bei meinem letzten
Cisco Training sagen lassen, beläuft sich bestimmt schon auf
15000 !
Tendenz allerdings fallend.
Ein Ciscomotto-
Klasse statt Masse !
MfG
Mr. Oiso
-
Hallo ntnetdog
So wie ich das sehe wird das mit der Config nix !
Dialer pool Konfiguration 1 ist o.k., aber das dialer interface 2
ist member von pool 2 welches Dir am BRI aber nicht zur
Verfügung steht.
Pack das dialer Interface 2 mal in den pool 1 !
+++++++++++++++++++++++++++++++++++++++++
Fehler 619
Starten Sie Ihren Computer neu, um sicherzustellen, dass sämtliche zuletzt in der Konfiguration vorgenommenen Änderungen wirksam sind.
+++++++++++++++++++++++++++++++++++++++++
Ich bin mir aber nicht sicher ob es so funzt.
Dialer pool Konfigurationen gehören nicht zumeinem Stammrepertoire. Ich arbeite lieber mit Dialer-Gruppen.
Wenn`s nicht läuft......ich schau mal nach ob ich noch was
brauchbares an Konfigurationen habe !
Es sei denn Scooby ist schneller !
Lasse von mir hören
MfG
Mr. Oiso
-
Hallo BlueIce
Frank04 hat wahrscheinlich recht !
Hast Du die "isdn switch-type basic-net3" global oder
nur am Interface konfiguriert ?
In der Regel sollte es global getan werden.
Danach übernimmt er sie auch am BRI !
Hier als Unterstützung die Message des Output Interpreters
von Cisco :
Bei beiden loggings die gleiche Aussage !
ERROR MESSAGE NOTIFICATIONS (if any)
%LINK-3-UPDOWN (x2): Interface [chars], changed state to [chars]
Explanation: The interface hardware has gone either up or down.
Recommended Action: If the state change was unexpected, confirm the configuration settings for the interface.
--------------------------------------------------------------------------------
No information on error code ISDN-6-CONNECT
No information on error code DIALER-6-UNBIND
No information on error code DIALER-6-BIND
MfG
Mr. Oiso
-
Hallo Milla
Hast Du schon mal "copy run tftp" probiert ?
Die running-config ist die momentan laufende Konfiguration
eines Router / Switches !
Gruß
Mr. Oiso
-
Hi Chris18
Ist die Kiste neu ?
Ist auf dem AP eventuell schon eine Config aktiv ?
Wenn Du diese Fehlermeldung lesen kannst hast Du doch schon
Connect via Console !
Versuch mal ein "enable"
Fordert er dann das Passwort an ?
Tip: Die Kiste schon mal Resetet ?
Auf der Rückseite ist nen Mode Button, diesen beim neu Start mal 10 sec festhalten !
MfG
Mr. Oiso
-
Hallo jpzueri
Sorry ! Ist mir nicht aufgefallen !
Utix !!! Please do so !
Gruß
Mr. Oiso
-
Hallo Chris18
"Und heute läd er erst gar nicht mehr (über) die Console, er bringt nur noch den Fehler:
Interface Dot11Radio0, Deauthenticating Station ...
Reason: Previous authentication no longer valid"
Was meinst Du damit ?
Hast Du denn Consolen-Zugriff ?
Welche Version hast Du ?
z.B. Air-AP1220B oder Air-AP1231G ?
Versuchs mal mit nem Web-Zugriff via 10.0.0.1 (default)
Passwort sollte default user=Cisco password=Cisco sein !
MfG
Mr. Oiso
-
Hallo utix
Da hilft wohl nur suchen !
Was für ein Cisco Catalyst ist es den ?
Welches IOS/CatOS ?
Vieleicht kann er ja schon nen l2trace !
Damit könntest Du schnell dahinterkommen, welche Mac hinter
welcher IP steckt und wo sich der Rechner befindet !
Ansonsten hilft Dir wohl nur Windows "cmd" erst alle pingen und
sofort nen arp -a IP hinterher, damit Du die Mac zur IP findest.
Danach kannst Du auf jeden Fall auf dem Switch nen
"sh mac-address-table" absetzen, worauf er Dir alle gelernten
Adressen anzeigt.
Damit erhälst Du eine Tabelle, in der rechts neben den Mac-Adr.
die Ports aufgelistet werden, an denen der Switch sie gelernt hat.
Steht dann rechts nur ein Eth-Int, dann kannst Du davon ausgehen, dass sich die Mac als Host an diesem Port befinden.
Bei einem Gigabit Int wird es in der Regel schwer (Backbone).
Hier hält ein Switch in der Regel viele Mac-Adr. !
Mfg
Mr. Oiso
-
Hi kryble
Ich mache mir in der Regel auch das Leben leicht !
SUS hilft dabei ungemein !
Bis ich den Kram aber erstmal richtig am laufen hatte dauerte es
schon etwas !
Mein Tip :
Schau mal ob die Dienste gestartet sind.
Automatische Updates
Intelligenter hintergrundübertragungsdienst
Gruß
Mr._Oiso
IPSEC Port-Forwarding
in Windows Forum — LAN & WAN
Geschrieben
Hi grizzly999
Thx für Deine seelische Unterstützung.
Schließlich läst sich bei Netgear so gut wie nie der
Telefon-Support erreichen.
Aber egal, die haben da auch keine Lösung für das Problem.
Die reden da alle was von einem UPnP Protokoll, mit welchem man
so eine Art Multicast Steuerung für diverse Dienste im Lan
anbieten kann. (Wäre auf dem Netgear Router einzuschalten)
Das funktioniert auf jeden Fall mit PPTP jetzt bei mir da Heim !
Die Sache mit der Watchguard hab ich kurzerhand mit eine
IP-Cop Firewall gelöst. Auf dieser brauchte ich nur UDP 500 und TCP 4500 forwarden und schon lief es !
Die IP-Cop erkennt automatisch beim forwarden von UDP 500, dass es sich um ISAKMP handelt und mach Protokoll 50 mit frei.
Bei PPTP jedoch muss man Protokoll 47 (GRE) zusätzlich forwarden.
Zum Glück rief eben Watchguard dann nochmal an.
Die erzählten davon, dass sie von diese Variante schon öfter
gehört haben, wobei jedoch jedesmal der Netgear-Router für einen anderen dyndns-fähigen Router weichen mußte.
Ergo : Es läuft einfach nicht mit einem Netgear der Baureihe 614 !
Zumindest gibt es Probleme damit !
Problem resolved !
Danke grizzly
Gruß
Mr. Oiso