Dackel77

sorry, hab erst jetzt wieder Zeit für die Problematik gehabt. bei der ASA hab ich es auf "Interface" laufen, ist aber die echte Outside-IP-Adresse. Das loggin, sagt, dass die nat-rule das ganze dropped, aber was soll ich an der verändern... hm , bin etwas ratlos. Hab auch schon den Port auf den selben internen server von der asa aus geleitet wie von der Pix, selbe ergebnis , von pix geht es, von asa nicht. Ich bekomm auf der ganzen asa keinen einzigen Port geöffnet, gibt es noch irgendeine Einstellung, die den kompletten Verkehr per se verhindert? (habe ASA auch auf Werkseinstellungen zurückgesetzt, dann nur Startup-Wizard über asdm und nur die oben gezeigten Einträge in der Console eingetragen.

Hallo Leute, ich hab zwar über die SUchfunktion einiges gefunden aber ich hab auf einer ASA 5505 ein Problem: Die Portweiterleitung klappt nicht.Und das obwohl ich mit vielen Beispielen hier verglichen hab und hier auch auf einer anderen Leitung hier habe ich eine ältere PIX am laufen, über die genau der selbe Port ohne Probleme weitergeleitet ist. Was muss bei der ASA zusätzlich noch gemacht werden und / oder was ist an diesen Eingaben nicht richtig?? habe: access-list outside_access_in extended permit tcp any eq 5007 host 149.253.72.146 eq 5007 static (inside,outside) tcp interface 5007 192.168.13.4 5007 netmask255.255.255.255 access-group outside_access_in in interface outside wobei halt Port 5007, der auf dem Outside Interface (149.253.72.146) reinkommt in unser Netz auf den Server 192.168.13.4 weitergeleitet werden soll. Auf der Pix sieht das ganze so aus (meiner Meinung nach ist das identisch (bis auf die beteiligten IPs) access-list acl_outside permit tcp any host 216.167.130.90 eq 5007 static (inside,outside) tcp 216.167.130.90 5007 192.168.13.3 5007 netmask 255.255.255.255 0 0 Vielen Dank für jeden Tipp ! Grüße

Hallo Wordo, vielen Dank schonmal ist ein zweiter Pool zwingend nötig? Ich habe die Gruppe bereits angelegt und Ihr den selben Pool wie der bestehenden Gruppe zugeteilt. Als Access-List habe ich für die Gruppe auf nur einen Host nur diese zugefügt: access-list Gruppenname_splitTunnelAcl permit ip 192.168.23.104 255.255.255.255 any

Hallo Leute, wir haben hier eine Pix506e über die auch unser vpn läuft. Wir nutzen ein remote to pix vpn zum Einwählen von zuhause oder notebook mittels easy vpn client. Unser internes netzwerk hat 192.168.23.X Die per vpn bis jetzt angeschlossenen Clients bekommen von der pix ebenfalls 192.168.13.230-240 aus dem ihnen zugewiesenen Pool. Soweit klappt dies auch alles. Jetzt benötigen wir aber für eine neue Gruppe Zugriffsrechte von den Clients auf nur einen speziellen Rechner im Netz. Wie macht man dies am geschicktesten? Ich würde jetzt eine neue VPN Gruppe anlegen, diese bekommt aus dem selben Pool IPs zugewiesen. Wie kann ich dieser Gruppe jetzt sagen, dass sie nur auf einen speziellen Rechner zugreifen darf? Oder sollte man diesen Rechner und auch die neue Gruppe intern in ein anderes subnetz verlagern? Habe leider noch nie mit mehr als einer Gruppe gearbeitet. Danke für jede Hilfe

also das netzteil scheint es doch nicht zu sein, jetzt war ich kurz mit konsole drauf und auf einmal kann ich nix mehr eingeben und es leuchten wieder alle lämpchen grün (konnte so 2 minuten per konsole arbeiten, es ist nur konsole zur Zeit angeschlossen. Musste die PIx also ausmachen, aber jetzt ist gleich nach neustart wieder alles am leuchten. Du schreibst, dass die PIX beim POST abschmiert, wie kann ich das denn feststellen, wenn ich garkeinen zugriff habe? wenn alles luchtet kann ich egal mit welcher Baudrate nicht auf die pix zugreifen, wenn soi wie eben dann doch mal Powerr leuchtet und hinten nichts kann ich mit den normalen Standardeinstellungen drauf (9600 Baud) Scheint mir irgendein Wackler oder so zu sein, ich schicke das Gerät zurück,werde cisco support kontaktieren und einen Austausch veranlassen. Danke für Deine Hilfe , Wordo

ok, Fehler gefunden, das Netzteil scheint kaputt zu sein, mit denm Netzteil der anderen Pix geht es einwandtfrei, trotzdem Dakne für die Hilfe

nein, es kommt nix über terminal an, die Daten sind (denke ich) korrekt, da ich auf die andere Pix mit den selben Einstellungen vom selben Rechner per Console draufkomme. Mich macht halt sehr stutzig dass sofort alle Lämpchen grün leuchten obwohl keine Kabel dran sind und vorne nur durchgehend netzwerk leuchtet. Bei der anderen Pix leuchtet dies beim Initialisieren alles kurz auf und dann leuchtet Power durchgehend und hinten leuchtet Link nur bei Verbindung und act flackert bei Datrenverkehr.

ich habe ein Konsolenkabel, aber die Leuchten leuchten so egal ob ein Konsolenkabel oder ein Netzwerkkabel aufgesteckt ist, selbst wenn nur Strom am Gerät dran ist sieht es so aus. Ich komme per Console in diesem Zustsand nicht drauf. Ich vermute langsam dass die Kiste tatsächlich nicht ganz in Ordnung ist (ist eh nen Witz dass man ein älteres Gerät als Austausch bekommt as das Orginal welches man hatte, ist halt nur "generalüberholt". Kann es noch irgendeine Zugriffsbeschränkung oder Sicherung ? Es gibt doch noch diesen Monitoring bzw. boothelper-modus? Wie kommt man auf diesen? Der Link in der Onlinehelp auf das Benutzen dieses Modus funktioniert leider nicht

Hallo Leute ! Wir hatten hier eine defekte PIX 506e (stürzte immer nach ca. einer halben Stunde ab) haben dann diese dank cisco-Servicevetrag austauschen lassen (während des Austausches habe ich ein Leihgerät unserers Händlers installiert , das zur Zeit auch einwandtfrei läuft). Jetzt möchte ich dies aber zurück geben und das Austauschgerät in Betrieb nehmen. Hierfür habe ich von Cisco einen Registration Key zugesandt bekommen um die mit "restricted rights" gelieferte Pix zu aktualisieren. Allerdings komme ich bei diesem Gerät garnicht so weit um Zugriff zu haben. Wenn ich das Gerät einschalte sind hinnten alle LINK oder ACT Leuchten an der Rückseite des Gerätes dauerhaft am Leuchten und an der Vorderseite leuchtet nicht Power sondern durchgehend "Network" Cisco schickt mir als Support leider immer nur Verweise auf Online-Hilfen aber zu diesem Problem kann ich nichts finden, ist das Gerät eventuell defekt? Hab ich in diesem Zustand eine Chance auf die Pix zuzugreifen? Ich habe das Gefühl das sich die pix schon während des Bootensaufhängt. Danke für jeden Tipp! Grüsse Marc

Hallo ! Seit gestern fällt bei unserer 506e Pix in unregelmässigen Abständen andauernd komplett die Verbindung weg, nach Reset ist alles dann wieder normal bis zum nächsten Abbruch. LEDs an der Pix leuchten weiterhin normal, aber kein Zugriff mehr auf die IPs sowohl über ssh oder PDM. In den Logs kann ich auch nichts finden. Wenn ich während dessen z.B. den PDM aufhabe, steht plötzlich nure in den Interfacegrafiken "lost communications to pix". Ich habe bemerkt, dass das Gehäuse der Pix relativ heiss ist. Wir haben sie noch nicht so lange im Einsatz, deswegen meine Frage: ist das normal ? Und wenn es daran nichtl liegt hat jemand eine Idee wodran diese Abbrüche liegen können? Bis gestern lief alles einwandfrei und heut morgen hab ich festgestellt, dass die PIX "tot" war, resetet, ging, aber seit dem ist sie schon wieder zweimal tot gewesen. In den Logs kann ich nix finden, bleibt wohl einfach stehen. Danke für die Hilfe

Mit den oben genannten Einstellungen bekomme ich auch einen Connect von aussen im easy vpn-client, habe dann auch eine IP-Adresse aus dem eingerichteten Adresspool zugewiesen, aber wie bekomme ich jetzt Zugriff auf z.B. Netzfreigaben usw. ? DNS-Server ist richtig angezeigt (192.168.15.2), IP ist richtig (192.168.15.60) aber ich kann nichts sehen/pingen usw. im Netzwerk. Was muss ich noch machen, dass der Rechner von aussen als "vollwertiges" Mitglied im Netz läuft? Scheint so als wenn der VPN-Tunnel nur bis zur Pix aufgebaut wird, der Client dort die IP zugewiesen bekommt und das war es dann. Wichtigstes Ziel wäre erstmal über vpn Outlook bzw. Exchange-Konten nutzen zu können. Aber im Grunde ist ein Vollzugriff auf das Netzwerk gewünscht. Wir haben im Netzwerk auf dem 192.168.15.X Segment eine Domäne firma.local laufen (Win2000 AD mit Exchange 2000). Danke für jede Hilfe

habe jetzt die Pix mal testweise bei uns in die reele Umgebung integriert. Ports und verbindungen gehen alle, die PIX ersetzt einen Linuxrechner, der vorher Gateway, DNS und iptabels-firewallscripts hatte. Der DNS ist auf einen anderen (Windows) - Server umgezogen. Es geht alles bis auf eine Sache: Internetseiten aus z.b. den Favoriten werden beim ersten Mal laden nicht gefunden, lädt man die Seite danach erneut wird sie sofort gefunden. Habe bereits DNS-Cache und Browser-Cache der Clients gelöscht. Hat jemand eine Ahnung wodran das liegen kann? kann das an der PIX liegen ? Der DNS Server löst ohne Probleme Internetadressen via nslookup auf. Die Clients haben die PIX inside-Schnittstelle als Gateway (ist die selbe die früher der alte DNS und das alte Gateway auch hatten. bin für jeden Tipp dankbar, wieso sollte die erste Verbiindung scheitern, dioe zweite sofort danach gehen?

Hallo ! Ich richte gerade ein VPN auf der Pix 506e ein, es soll von aussen mit den Clientsauf das komplette LAN zugegriffen werden. Ich habe die Grundkonfiguration jetzt über den VPN-Wizard vom PDM gemacht mit folgenden Einstelluungen: Remote Access VPN enabled auf dem OUTSIDE nterface Cisco VPN Client als Client ausgewählt VPN Client Group: Name: Benutzergruppe (eigentlich der Firmenname) Pre shared Key Extended Client Authentication erstmal nicht Adress-Pool: vpn-benutzer Start-Adress 192.168.15.60 End-Adress 192.168.15.70 Unser internes Lan befindet sich im selben Segment DNS Server 192.168.15.2 Default Domain Name: firma.local (wie auch unsere normale Domain im Lan) IKE Policy: Encryption: 3DES Authentication: MD5 DH Group: 1024bit Transform Set: Encryption: 3des Authentication: md5 Adress Translation Exemption (Optional): alles leer gelassen, damit das gesamte LAN dem VPN-Client gezeigt wird. Meine Frage: wie dringend braucht man einen XAuth-Server? Irgendwelche Konfigurationslücken oder Fehler, die man sich über den Wizard bei diesen Einstellungen einhandeln kann? Mein Ziel ist es, dass alle per VPN verbundenen Rechner kompletten Netzwerkzugriff über den VPN-Tunnel haben und sozusagen keinen Unterschied ausser die Geschwindigkeit zum Arbeiten im Büro haben. Über den Wizard werden auch alle nötigen Ports usw. für das VPN auf der Pix eingetragen oder muss ich manuell noch Einstellungen hierfür vornehmen? Danke schon mal für die Tipps

Fehler hat sich erledigt, nach nochmaligem reboot hat die PIX dann die access-group akzeptiert, danke nochmal an alle :jau:

Hallo, das habe ich jetzt verstanden (dämlich von mir), aber damit ein Problem ich habe jetzt mturbas syntax 1:1 übernommen, die access-list acl-outside für beide Ports gemacht, die statics für beide Ports sind auch vorhanden, allerdings wenn ich jetzt "access-group acl-outside in interface outside" eingebe,kommt: ERROR: access-list <acl-outside> does not exist Aber access-list acl_outside permit tcp any host 217.146.123.123 eq smtp access-list acl_outside permit tcp any host 217.146.123.123 eq 5003 ist vorhanden Wodran kann das liegen? Schreibfehler ist es nicht, hab ich 10x ausprobiert