Blacky_24

Im Prinzip hast Du mit Deiner Aussage, dass man NAT gezielt unterdrücken kann, recht. Allerdings hat das nur in bestimmten Fällen Sinn: - VPN/RAS - Das innere Netz kann von draussen geroutet werden Letzteres geht per Definition schonmal nicht wenn man drinnen RFC 1918-Adressen und draussen das Internet hat. Die PIX ist eine Firewall und NAT ist ein nicht zu unterschätzendes Sicherheitsmerkmal weil damit der Blick auf den tatsächliche Aufbau des inneren Netzes von draussen zumindest erschwert wenn nicht gar verhindert wird - der draussen kann nur sehen was durch die PIX kommt - und da sieht er nur NAT-Adressen die er i.d.R. nicht eindeutig zuordnen kann. Gruss Markus

Über den Arbeitsmarkt in DE braucht man eigentlich keine weitere Worte mehr zur verlieren. Der ist besch**sen und wird das auch in den nächsten Jahren bleiben. Wenn man mal das ganze Gefasel vom "sicheren Arbeitsplatz" da deponiert wo es hin gehört bleibt kaum noch ein Argument contra Selbständigkeit. Ich kenne eine Menge Leute aus der IT-Branche die arbeitslos sind und wie die Hamster in der Adressen sammeln Bewerbungen schreiben und nachtelefonieren Absagen abheften beim Arbeitsamt katzbuckeln Tretmühle herumrennen. Einige von denen machen das schon seit zwei Jahren und waren früher mal wirkliche Profis in der IT. Nur: Wer ein oder zwei Jahre Arbeitslosigkeit auf dem Buckel hat hat kaum noch Chancen auf einen neuen Job. Ich kenne allerdings auch eine Menge Freelancer die ein ganz erträgliches Aus- und Einkommen haben - und ich kenne keinen Freelancer dem es schlechter geht als einem Arbeitslosen (wobei es die sicher gibt). Rechnen wir es mal anders rum: Als Lohnsklave verdient man vielleicht so EUR 3.000,--/mtl., davon gehen Steuern und Sozialversicherung runter, bleibt irgendwas in der Gegend EUR 2.200,-- - 2.400,-- übrig. Der "sichere Arbeitsplatz" steht heute nur noch dafür dass man mit Glück eine Kündigungsfrist von drei Monaten hat die man vorher weiss, dass man danach mit grosser Sicherheit zum Stempeln gehen darf. Wenn man Pech hat faltet es den Arbeitgeber über Nacht zusammen und man darf gleich zum Stempeln gehen und kriegt etwas Insolvengeld. Vom AA gibt es am Anfang irgendwas in der Gegend von EUR 1.400,-- - 1.600,-- Arbeitslosengeld. Als Freelancer (mache ich jetzt seit bald 10 Jahren) fakturiere ich pro DL-Tag an den Kunden zwischen EUR 800,-- und 1.200,-- netto, dafür muss ich mich selbst krankenversichern und für mein Alter vorsorgen (reiche Frau heiraten :D). KV (freiwillig gesetzlich) kostet mtl. EUR 400,--, Altersvorsorge mtl. auch EUR 400,--, Steuer je nach Einkommen. Wohlgemerkt: Ich rede hier von einer qualifizierten Dienstleistung für die man KnowHow braucht, gegen den Computermurkser von der Ecke trete ich nicht an weil ich das nicht nötig habe und weil der im Zweifelsfall immer billiger ist. Man muss etwas können was der potentielle Kunde nicht selber kann so dass er bereit ist, dafür Geld zu bezahlen und was auch nicht jeder Blechschrauber mit Computer-B*öd-Abo kann. Ein gewisses Auftreten und ein "Händchen" für den Umgang mit Kunden gehört sicher auch dazu. Wenn man sich richtig positioniert und den richtigen Kunden findet kann man da immer wieder damit rechnen, dass der Kunde regelmässig ein oder zwei DL-Tage kauft. Davon drei oder vier Kunden von der Sorte und man kann schon ganz entspannt ins Leben blicken. Kunden zu finden gibt es mehrere Möglichkeiten. Wenn es den AG zusammenfaltet ist die Sache i.d.R. relativ einfach: Gnadenlos die Kunden ansprechen bevor es die Konkurrenz macht. Die Kunden sind i.d.R. froh wenn sie weiter von dem betreut werden der das in der letzten Zeit gemacht hat. Geht im Tagessatz halt ein paar Euros runter um den Kunden die Sache schmackhaft zu machen, ausserdem könnt Ihr Euch das leisten weil Ihr keinen Wasserkopf mit Sekretariat, Büro und was weiss ich noch alles mit Euch rumschleppt. Eure Firma besteht aus einem Schreibtisch, einem Notebook, Mobiltelefon, Internetzugang, E-Mail-Adresse - Zeug das heutzutage eigentlich jeder schon hat. Wenn der Ex-AG weiter besteht muss es jeder mit sich selbst, seinem Arbeitsvertrag und seiner Rechtschutzversicherung ausmachen ob er die Kunden vom AG anspricht. Wenn man einen Teil der Zeit, die man für sinnlose AA-Besuche und sinnloses Bewerbungsschreiben aufwändet, in die Kundenakquise steckt müsste da eigentlich was gehen. Solange Ihr noch keine eigenen Umsätze habt zahlt das AA das Arbeitslosengeld ja weiter. Weder habe ich ein Patentrezept mit Funktionsgarantie noch werde ich meine "Akquisestrategie" hier en detail ausbreiten aber ich habe auch dieses Jahr schon neue Kunden gefunden die in mein o.a. Raster passen - und ich denke, dass das auch anderen Leuten möglich sein sollte. Gruss Markus

Gib uns mehr, viel mehr :D Bis dahin hat der Router eine Connection hingezimmert, der interessante Teil müsste dann in den nächsten paar Zeilen kommen, irgendein established oder irgendein Abbruch mt entsprechenden Meldungen. Gruss Markus

Im Prinzip völlig richtig, allerdings braucht es trotzdem einen Global und einen NAT-Eintrag, sonst macht die PIX von drinnen nach draussen erstmal garnichts. Alternativ einen Static, aber ohne Public-IPs in entsprechender Anzahl ist der eher sinnfrei. Gruss Markus

Unter dem o.a. von mir bereits angegebenen Cisco-Link findest Du auch: Allerdings ist die 501 alles andere als eine High-End-Maschine, da "unbegrenzt" viele User dranzuhängen? Ich denke, die "Unendlichkeit" endet relativ schnell jenseits der 50 User, dann ist die kleine Kiste einfach dicht. Gruss Markus

Jaein. Der User-Count bezieht sich auf konkurrierende Sessions, also die Anzahl der User die gleichzeitig von drinnen durch die PIX nach draussen (z.B. ins Internet) können. Du kannst soviele User (=interne IP-Adressen) haben wie Du willst, die PIX lässt immer nur zehn gleichzeitig durch. Da gibt es dann noch einen kleinen Timer der festlegt wie lange es dauert bis eine Idle-Session wieder freigegeben wird. Gruss Markus

Mal systematisch: Hat der AP schon eine Konfig? Welche IP-Adresse wurde konfiguriert? Kannst Du über das Webinterface auf den AP zugreifen? Wenn der AP noch mit der Default-Konfig läuft versucht er sich über DHCP eine IP-Adresse zu holen - damit und dem Webinterface sollte der Zugriff funktionieren. Schonmal versucht, per Telnet zuzugreifen? Gruss Markus

Der DOS-Client liegt auf der NT4-Server-CD im Verzeichnis CLIENTS\MSCLIENT\DISKS, im Unterverzeichnis \DISK1 findest Du ein Readme mit Installationshinweisen. Gruss Markus

Grins, so wie Du das hier schreibst ist das (fast) genau das was ich letzte Woche für einen Kunden eingerichtet habe - allerdings hat der ne hässliche rote Watchguard. Allerdings steht in meine Doku "Clientport grösser 1023". 1023 wäre auch ziemlich seltsam, der ist nämlich von der IANA reserviert. Gruss Markus

Tools sind es zwar nicht gerade aber bei Digitalblasphemy gibt es ein paar hübsche Hintergrundbilder, auch supersized für Multi-Screens. In der Free Gallery sind ein paar Sachen kostenlos zu haben, seit ein paar Wochen gibts auch passende Themes für den PocketPC. Geschmackssache, aber vielleicht gefällt es ja dem einen oder anderen. http://www.digitalblasphemy.com/dbhome.shtml Gruss Markus

Wenn ich das richtig sehe sind das drei Themen: 1. Dynamisches DNS: Unterstützt Cisco nicht. Entsprechenden Client suchen der hinter dem Router im Netz läuft, die besseren Clients merken dass da noch was vorne steht (Router) und ermitteln die IP-Adresse richtig. 2. IP-Adresse: Tipp mal "sh int" ein, irgendwo im Output vom Dialer-Interface steht die IP-Adresse die der Provider bei der Einwahl zugewiesen hat. 3. Public-Server hinter Router ist kein Problem, entsprechende Access-Liste bauen. Für konkretere Infos zu 3. brauchts mehr Input. Gruss Markus

Hilft das: Error Message %STANDBY-3-DUPADDR : Duplicate address [iP_address] on [chars], sourced by [enet] Explanation The router has received an HSRP message on the interface. The IP address in the HSRP message is the same as the IP address of the router. This condition may be caused by a network loop, a misconfiguration, or a malfunctioning switch. Recommended Action Ensure that there are no network loops. Check the configuration on all the HSRP routers. Ensure that any switches are configured correctly and functioning properly. ??? http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_system_message_guide_chapter09186a008009e7a1.html Gruss Markus

D.h. der Router kann weder Hostnamen noch IP-Adressen im Internet pingen? Grübel. Nimm mal die Access-Liste 101 raus und von dem BRI das " ip nat outside", " ip nat outside" steht nochmal im Dialer, einmal reicht. Gruss Markus

Wenn er nach den Grundeinstellungen fragt heisst das soviel wie dass er sich im factory default befindet und keine Konfig hat. Einfach durch die Grundeinstellungen durch und dann die Konfig feintunen oder den Grundeinstellungskram abbrechen und ein Backup der letzten Konfig per Konsole einspielen. Zumindest müsstest Du jetzt mal ein laufendes IOS haben, d.h. während dem Boot hat der Router das IOS entpackt "...##############..." und geladen. Sieht für mich eigentlich so aus als ob der Vorbesitzer da ein freundliches "wr era" über den Router gebügelt hat. Vielleicht hing die Kiste auch früher mit dem Konsolenport an so einem komischen Switch der mehrere Terminals auf IP umsetzen kann (frag mich jetzt nicht wie das genau heisst, hab auch so ein Teil im Lab dass nur 2.400 Baud auf den Ports kann). Gruss Markus

Es wäre hilfreich wenn wir hier mal die Begrifflichkeiten sortieren könnten. Einigen wir uns drauf dass der Boot-Modus das ist wo der Router als Prompt <boot> anzeigt - und da bleibt er stehen und wartet auf eine Eingabe. Was ist der Setup-Mode? Fragt Dich der Router beim booten ob Du die Grundeinstellungen konfigurieren willst oder was meinst Du? Es wäre nützlich wenn Du den conf-reg mal wieder auf 2102 setzen könntest damit wir einen definierten Zustand kriegen mit dem jeder was anfangen an, ich habe keine Ahnung was dieser komische 3A04 da genau macht. Wäre allerdings interessant zu wissen wie der da hin gekommen ist, von alleine passiert sowas nicht. Alternativ: Poste mal den Konsolenoutput von einem Boot ohne Benutzerinteraktion, soweit der Router halt hochfährt. Gruss Markus

Hallo, Lt. dem Debug ist mit dem BRI alles o.k. Die beiden Subinterfaces zieht der Cisco erst an wenn ein ISDN-Kanal belegt wird. Auch wenn Du "no shut" eingibst sollte sich an dem Interfacestatus nichts ändern - erst wenn eine Einwahl erfolgt tut sich da bei Deiner Konfig was (normalerweise). Im nächsten Step kannst Du Dich mit den Variante von "debug isdn" beschäftigen, das wird dann etwas zeitaufwändiger. Gruss Markus

Da gibt es keinen enable-Modus. Du hast im <boot> nur ein Minimal-Notsystem. Enable-Modus gibts erst wenn das IOS geladen ist. Mein Conf-Reg-Rechner sagt dazu: NVRAM config will be used Break key Enabled, after IOS load Console Baud: 2400 Use filename: cisco4-4000 for tftpboot (on 4000 series) Gruss Markus

Hi, Gib mir doch mal den Output von sh ip int brie und sh int bri0 - unmittelbar nachdem der Router hochgefahren ist OHNE dass Du irgendwelche anderen Befehle eingetippt hättest. Gruss Markus

Sach mal Kollege, könnte es sein dass ein konkretes access-group smtp in interface outside in Deiner PIX Dein Problem lösen würde? Bin zwar noch nicht ganz wach aber irgendwie finde ich das in Deiner Konfig nicht - und wenn Du die Access-List nicht auf das Interface bindest tut die Access-List nix (ausser Speicher brauchen). Gruss Markus

Theopraktisch müsste die IP des Mailservers im gleichen netz liegen wie das Outside-Interface der PIX?! Wenn Du die PIX outside pingen kannst kann es eigentlich kein Routing-Problem sein. Wenn Du den Mailserver von extern durch die PIX pingen willst muss Du dafür eine Access-Liste setzen: Also: mit der o.a. Access-Liste machst Du die PIX auf für die Antwortpakete auf Ping-Anfragen die von Inside nach Outside geschickt wurden. Wenn Du von Outside auf den MX Inside pingen willst musst Du das ebenfalls aufmachen: access-list 101 permit icmp host 62.XXX.XXX.XXX any echo Denke bitte daran dass Du die ganzen Access-Listen-Einträge wieder von der PIX runter nimmst wenn das denn irgendwann mal funktioniert. Gruss Markus

Hi, Wenn Du Dir nicht sicher bist ob die Connectivity generell funktioniert kannst Du mal auf dem Outside ICMP einschalten icmp permit any outside Damit antwortet das Outside auf Ping - brauchst zu Testzwecken halt einen alternativen Internetzugang. Alternativ / zusätzlich ICMP aufmachen dass der Server nach draussen pingen kann - Falle: Du musst da die Static-Adresse setzen, sonst gehts nicht, alternativ das "host 62.XXX.XXX.XXX" durch ein "any" ersetzen. access-list 101 permit icmp any host 62.XXX.XXX.XXX echo-reply access-list 101 permit icmp any host 62.XXX.XXX.XXX source-quench access-list 101 permit icmp any host 62.XXX.XXX.XXX unreachable access-list 101 permit icmp any host 62.XXX.XXX.XXX time-exceeded access-list 101 permit icmp any host 62.XXX.XXX.XXX echo Wenn die connectivity / routing nicht stimmen brauchen wir garnicht weiter an der Konfig rumdoktern. Gruss Markus

Nunja, Du brauchst im Prinzip drei Sachen: 1.) Einen "static" mit dem Du die interne IP statisch auf die externe IP umsetzt: static (inside,outside) 62.XXX.XXX.XXX 10.0.0.2 netmask 255.255.255.255 0 0 2.) Eine Access-List mit der Du den Port 25 von draussen kommend aufmachst access-list 101 permit tcp any host 62.XXX.XXX.XXX eq smtp 3. Die Access-List muss auf das externe Interface inbound gebunden werden: access-group 101 in interface outside Anstelle der Access-List kannst Du auch einen entsprechenden Conduit verwenden - aber die Consuits werden irgendwann mal in der Software sterben und die Access-List-Geschichte zieht sich bei Cisco einheitlich durch alle Plattformen, sollte man also eher Access-Lists verwenden. Klar, Internetzugriff allgemein muss funktionieren, das ganze Gehampel mit der Default-Route spare ich mir jetzt hier mal. Ich stehe jetzt etwas auf der Seife (wo ist meine PIX-Bibel ver* nochmal?) ob es die "global (outside) 1 xxx.xxx.xxx.xxx" und "nat (inside)" wirklich braucht wenn man nur ganz gezielt ein System aufmachen will dass einen Static hat, eigentlich dachte ich greift in dem Fall der Static und nicht das Global, muss ich bei Gelegenheit mal testen. Die Cisco-Musterkonfig funktioniert sicher, was bei Dir schief läuft kann man nur anhand Deiner Konfig beurteilen - ggf. Passwörter und öffentliche IPs rausnehmen. Gruss Markus

Weia, Insolvens - es geht der Wirtschaft in DE nicht wirklich toll, aber bei den Mengen "Insolvenzware" die bei eBay verschoben werden dürfte in DE kein Firmenschild mehr hängen. Frag den Verkäufer mal an ob er Dir eine unterschriebene Quittung mit Seriennummer und der Bestätigung, dass er da sein Eigentum verkauft, ausstellt - das kann er nämlich auch als Privatperson. Wenn der VK das nicht will würde ich die Finger von dem Gerät lassen. Wenn das der eine 2948-L3 ist den ich gerade auf die Schnelle bei Cisco gefunden habe ist das IOS nicht gerade aktuell - aber das ist wahrscheinlich auch egal, nach den Lizenzbestimmungen musst Du sowieso eine neue Lizenz kaufen. Gruss Markus

Dann solltest Du Dein Wissen gelegentlich nochmal überprüfen, z.B. auf der Webseite die ich o.a. gepostet habe. Gruss Markus

Hassu recht, es ist schon spät und der Tag war sch**sse. Zu schnell geklickt .... ICP macht schicke Sachen - aber irgendwie nur noch für SCSI und FC. Im S-ATA-Bereich hängen die ganz schön hinterher :rolleyes: - schade das. Gruss Markus