Blacky_24

Wenn er die falsche Java / PDM-Version hat startet der PDM. Der Erste Teil läuft durch, erst wenn er nach der ersten Anmeldung an der PIX den eigentlichen PDM startet fällt er hin. Gruss Markus

Dann hast Du im PDM irgendwann mal Credentials vergeben und die Konsole so konfiguriert dass sie gegen die lokale Benutzerliste authentifiziert, sonst würde die jetzt nicht nach Username & Passwort fragen. EDIT: Ganz Clevere konfigurieren die PIX auf lokale Authentifizierung und haben keinen einzigen User - typischer Fall von selbst ausgesperrt. Gruss Markus

Genau, David verspricht viel. Wenn Du nicht unbedingt David brauchst kannst Du Dir auch mal die Alternativen wie z.B. GFI FaxMaker ansehen, der hält wenigstens was er verspricht. Gruss Markus

Eine billige Consumer-Karte ist und bleibt eine billige Consumer-Karte. Abgesehen davon dass die Consumer-Karten herstellerseitig i.d.R. nicht in Servern supportet werden (was nicht heisst dass sie nicht funktionieren) lagern sie mehr oder weniger den kompletten Rechenaufwand auf den Server aus ("passive Karte" = keine eigene Intelligenz im Sinne eines Prozessors). Aktive Karten halten dem Server den Rücken frei weil sie mit ihren eigenen Prozessoren den ganzen ISDN-Kram in Hardware rechnen. Das wiederum heisst nicht dass jeder aktive ISDN-Controller auch gleichzeitig eine gute Faxkarte ist. Fax ist analog (abgesehen von den ISDN-Faxen die sich nicht wirklich in der Masse durchgesetzt haben), also braucht man noch etwas was den analogen Part rechnet - plus dem ganzen Faxkram selbst der auch relativ rechenintensiv ist (Grafik und Kompression) - ein SoftModem. Also gibt es aktive ISDN-Karten mit integrierten DSPs die diese Karten für den Fax- bzw. Modem-Betrieb besonders geeignet machen, z.B. einige Diva Server-Karten von Eicon. Die können dann auch beide B-Kanäle gleichzeitig bedienen also z.B. gleichzeitig zwei Faxe versenden oder empfangen. Über Outlook direkt Faxe versenden wird nur funktionieren wenn es da irgendein Stück Software gibt dass dem Outlook bzw. dem Exchange-Server einen Connector zu irgendeinem Faxprogramm liefert - und ja, das muss konfiguriert werden. Wenn Du auf User-Ebene adressieren willst musst Du die User unterscheidbar machen. Bei Email macht man das üblicherweise mit einer eindeutigen Email-Adresse, bei Fax mit einer Durchwahl, wie sonst? Telepathiefaxe haben sich noch nicht in der breiten Masse durchgesetzt. Die Erkennung der DDI und das Routing erledigt irgendeine spezielle Software. Den Komfort einer professionellen Faxlösung (z.B. Ferrari, GFI Faxmaker, Tobit David / FaxWare) wirst Du nur mit einer ebensolchen Lösung hinkriegen - wenn es das alles für lau gäbe würden diese Firmen entweder nicht existieren oder irgendwas anderes herstellen. Und wenn Du eine solche Lösung einkaufen willst findest Du bei den jeweiligen Herstellern Informationen welche ISDN-Karten - ggf. mit Einschränkungen - geeignet sind. Gruss Markus

Das Eine hat mit dem Anderen wohl nichts zu tun. Auf der einen Seite hast Du wohl das Problem, den Call-Back ans Laufen zu kriegen. Das sollte mit VoIP nichts zu tun haben, wenn die Server raustelefonieren können sollten sie auch in der Lage sein, einen Rückruf zu initiieren. Abgesehen davon weiss keiner was von VoIP. Der Client sieht ein ISDN-Interface, der Server auch, was dazwischen ist ist die grosse Wolke. Dito sieht es mit analogen Modems aus, die sehen ein analoges Amt - ob das wirklich eine Ortsvermittlung oder ein Port an einem ATA ist interessiert das Modem erst mal nicht. Grundsätzlich ist es möglich, über eine VoIP-Strecke ein Modem zu betreiben - Voraussetzung dafür ist, dass der VoIP-Part die Signale nicht verwurschtelt, z.B. durch Kompression. Wenn man über eine VoIP-Strecke ein Fax betreiben kann sollte auch ein Modem funktionieren - allerdings kann es sein dass es Geschwindigkeitsbeschränkungen gibt, faxtypisch sind 9.6 und 14.4. Nicht jeder Provider unterstützt Fax oIP, ggf. ist das nur für bestimmte Endstellen konfiguriert ... Eine eigene VoIP-Anlage hilft Dir da nur eingeschränkt weil Du damit nur die Parameter in Deinem eigenen Netz kontrollieren kannst, was ein externer Provider aus den Daten macht ... Gruss Markus

Wenn Du meinst ... Falls es sich um einen Hardwaredefekt handelt dürfte der von Deiner Vorstellungskraft vollkommen unabhängig sein - oder gehen Geräte nur deswegen kaputt weil Du Dir vorstellst dass sie kaputt gehen können? Cisco-Geräte sind meiner Erfahrung nach sehr robust und echte Dauerläufer, aber unkaputtbare Geräte hat leider auch Cisco nicht im Angebot. Gruss Markus

Dürfte ein Hardwareproblem sein. Wenn Du einen Wartungsvertrag hast kannst Du einen TAC-Call aufmachen, wenn nicht kannst Du nachsehen welche Gewährleistung es für das Gerät gibt (bei den Catalysten meistens "Limited Lifetime") und das dann - falls es noch Gewährleistung gibt - über den Händler zur Reparatur einreichen, dauert dann ein paar Wochen. Gruss Markus

Über den Befehl "dialer load-threshold" könnte man auch mal nachdenken ... Gruss Markus

Sniffer gibt es mittlerweile wie Sand in der Sahara. Gute Sniffer mit "Intelligenz", d.h. Sniffer, die in der Lage sind, die Daten auch noch einigermassen brauchbar aufzubereiten sind dagegen dünn gesät - und i.d.R. ein überaus kostspieliges "Vergnügen". Für eine Lizenz des "echten" Sniffers von NG mit Expertenmodul kannst Du gleich mal einen 5stelligen Dollarbetrag einplanen. Etherpeek von Wildpackets ist etwas billiger, hat aber das (meiner Meinung nach) bessere GUI und die Analysefunktionen sind auch nicht zu verachten. Die mir bekannten Sniffer fokussieren sich aber alle auf den Datenverkehr und das Netzwerk, nicht aber auf spezifische Sicherheitsprobleme. Sniffer sind z.B. keine Portscanner. Natürlich erkennen Sniffer auch offene Ports - weils sie den Datenverkehr protokollieren der von / an die Ports gesendet wird - nur halte ich es für minderclever, einen Sniffer laufen zu lassen und dann die Ports zu scannen - der Sniffer ****t Dir dann alle Pakete schön in den Trace und Du kannst Dir dann tolle Filter ausdenken um dieses Rauschen wieder rauszufiltern - oder wolltest Du auf Frameebene sehen wie ein Portscan aussieht? Wenn Du auf offene Ports / Dienste und "schwache" Passwörter und fehlende Patches scannen willst ist der o.a. bereits erwähnte Languard recht nützlich, . Wenn Du einigermassen flott eine L2-Topologie auslesen willst kannst Du mal nach dem Network Inspector von Fluke suchen (wird heute leider nicht mehr vertrieben und ist bei Fluke in diversen Hardwareprodukten aufgegangen, die alten Testversionen sind aber über Google noch zu finden). Die "billigste" brauchbare Sniffer ist Ethereal, ggf. mit dem GUI-Aufsatz von Packetyzer. Brauchbare kommerzielle Sniffer kosten ab mittel vierstellig bis sechsstellig für die Hardwarelösungen - aber wer meint ATM oder 10GE in Echtzeit sniffen zu müssen muss halt ausreichend Kleingeld mitbringen. Fluke hat diverse hardwarebasierende Generalisten die als "schweizer Taschenmesser" ganz brauchbar sind. Ein brauchbares Tool dass alles gleichzeitig kann ist mir noch nicht untergekommen, ein Sniffer der dann auch noch selbst den grössten Teil des Traffics (Portscan) generiert um den dann auch noch aufzuzeichnen ist widersinnig, wer einen Lastgenerator braucht kann sich einen solchen kaufen - der kann dann auch in Echtzeit sniffen, so ab 100.000,-- Euros gehts los. Gruss Markus

Vielleicht mit einer ACL den ICMP Echo Request auf dem Outside inbound für die öffentliche IP zulassen? Alternativ: In die Suche auf http://www.cisco.com "pix ping" eintippen und das erste gefundene Paper lesen und verstehen? Gruss Markus

Also nochmal: Das ist keine AD-integrierte Zone? Dann würde ich vorschlagen dass Du das mal änderst und da eine AD-integrierte Zone draus machst - geht über die Eigenschaften der Zone. Gruss Markus

Ah, das ist dann wohl die Edellösung. Bei den Banken die ich diesbezüglich kenne wird man von einem Bankangestellten in die Katakomben geführt. Gruss Markus

Ich bin mir anhand Deiner Schilderung nicht ganz sicher: Ist das eine Active Directory-integrierte Zone oder ist das eine einfache Forward-Zone (entsprechende Abfrage kommt im ersten oder zweiten Dialog wenn man "Neue Zone" macht). Gruss Markus

Die einfachste und billigste Lösung ist, bei der nächstgelegenen Bank ein Schliessfach zu mieten und da regelmässig vorbeizuschlappen und die Bänder zu tauschen. Über "Sicherheit" braucht man sich keine Gedanken zu machen, das Problem ist allerdings dass man an die Öffnungszeiten der Bank gebunden ist, ausserhalb der Öffnungszeiten gibt es null Chancen an das Schliessfach dran zu kommen (nicht mal wenn man mit der Tochter vom Bankdirektor verheiratet ist) weil die Zeitschlösser haben. Gruss Markus

Wenn man sonst keinen Unterschied findet vergleicht man mal den Softwarestand, was sonst? Gruss Markus

DMZPIX# sh ver Cisco PIX Firewall Version 6.3(4) Cisco PIX Device Manager Version 3.0(3) Compiled on Fri 02-Jul-04 00:07 by morlee DMZPIX up 51 days 14 hours Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz Flash E28F640J3 @ 0x3000000, 8MB BIOS Flash E28F640J3 @ 0xfffd8000, 128KB 0: ethernet0: address is 0007.eb2a.065c, irq 9 1: ethernet1: address is 0007.eb2a.065d, irq 10 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 2 Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: 50 Throughput: Unlimited IKE peers: 10 This PIX has a Restricted ® license. Gruss Markus

http://www.patchsee.com/de/sommaire_fr.php3 erleichtert die Dokumentation der Patches ungemein. Kostet auch nicht mehr als andere Markenkabel. Gruss Markus

Zu gebrauchen ist irgendwie alles - nur endest Du dann mit etlichen Geräten weil das Eine irgendwas nicht kann und das Andere irgendwas anderes nicht kann. Du wirst sowohl WIC-BRI als auch WIC-Serial brauchen - oder anderweitig BRI und Serial - wenn nicht als WIC dann halt fest im Router eingebaut oder als NM. Die guten alten seriellen Protokolle pflegt Cisco immer noch in den Kursen. NMs sind die grossen Brüder der WICs - gibts in zig Varianten. Du solltest Dich mal auf Cisco.com umsehen, da wirst Du mit Informationen zugeschüttet, die Datenblätter und Handbücher für die alten Sachen sind da immer noch archiviert. NMs und WICs sind aussterbende Völker, mit den neueren ISR-Routern hat Cisco neue Module eingeführt. Bei Comstor.de im Cisco-Bereich findest Du auch noch ein paar ältere Product Quick Reference Guides (und auch die aktuellen), für einen ersten Überblick was einzelne Geräte können sind die recht gut http://www.comstor.de/Default.asp?item=1352 Gruss Markus

Grundsätzlich sind alle aufgezählten Geräte nicht ganz auf der Höhe der Zeit :) Wenn Du 1605-R bekommen kannst wäre das schon mal nicht schlecht - 2x Etherner und 1 WIC-Slot, Module für den WIC (z.B. ISDN-BRI, Serial) bekommt man mittlerweile für ein paar Euro bei eBay. Ein 1605-R plus z.B. ISDN-BRI sollte unter 100 Ois kosten und ist deutlich flexibler als 801 / 1601 / 1603. Nachteil: Ausser für den 801er gibt es für diese ganzen Router kein IOS mit 3DES, nur DES. 3DES geht dann wieder mit den 17xx, die sind aber relativ teuer und haben nur 1x Ethernet. Dafür geht mit dem 1605 PPPoE-DSL (an einem DSL-Modem). Der 2610 (1x Ethernet) ist eine ordentliche Maschine, 2611 (2x Ethernet) wäre besser.Die 26xx können ein NM und zwei WIC, damit ist man sehr flexibel. Man sollte in die Kisten an Speicher reinstopfen was geht, ausserdem braucht man Zugriff auf diverse IOS-Versionen / Feature-Sets - legal horrend teuer. Zwei oder drei Switches brauchst Du auch noch, die 19xx sind nicht mehr so prall, die 29xx noch recht teuer. ISDN-Crossover gibt es nicht, ein Gerät muss NT liefern, das andere TE. Das billigste ist, eine kleine Telefonanlage mit ein paar ISDN-Ports als ISDN-Wolke einzusetzen. Die Erklärung für die unterschiedlichen Interfaces bekommst Du im Kurs oder durch die WWW-Suchmaschine Deines Vertrauens, das hier auszuwalzen würde etwas weit führen. Gruss Markus

Nunja, so wie so eine ACL halt aussieht. service tcp-keepalives-in service tcp-keepalives-out access-list 10 permit INTERNEIPODERINTERNESIPNETZ log access-list 10 permit WASHALTSONSTNOCHDARF log access-list 10 deny any log line vty 0 4 access-class 10 in exec-timeout 5 0 transport input telnet login local (wenn Du nicht AAA konfigurierst - halt lokale User anlegen) exec Gruss Markus

line vty 0 4 transport input ssh transport output shh Und dann noch eine nette kleine ACL und Ruhe ist. Gruss Markus

Och, da fallen mir schon 7-8 Gründe ein, z.B. eine sinnvolle Implementierung von VoIP, VLANs auf Abteilungs-/OU-Ebene oder einfach nur der Ehrgeiz des Admins, ein "schönes" Netz zu bauen und die heutigen technischen Möglichkeiten zu nutzen, so zu sagen ein State of the Art-Netzwerk. Um ein paar dumme Switches per Crossover-Kabel zu verbinden und dann zu hoffen dass einem nicht irgendein kaputtes Netzwerkgerät den ganzen Kram wegschiesst, dafür brauchts keine IT-Abteilung, da reicht der Nachtportier mit privatem Computer-Bild-Abo. Gruss Markus

Novell, Windows NT/2000/2003, Linux ...

Du hast Recht, den dynamischen Teil (aber nur den) habe ich mit dem PDM erstellt. Sieht man ja leicht an der Benennung der ACL und der Map. Irgendwelche Hintergedanken hatte ich dabei eigentlich nicht, als ich das gemacht habe hatte ich gerade die PIX und den PDM durch neue Versionen ersetzt und wollte das nur testen. Der Rest ist mit der Hand am Arm konfiguriert. Mit der 2ten Zeile sage ich der PIX nur welchen Traffic ("match address") sie auf die Dynamic-Map routen soll, korrespondierend gibt es dazu halt eine ACL: access-list outside_cryptomap_dyn_20 permit ip any 192.168.15.0 255.255.255.0 Du musst die ACL natürlich schon angelegt haben wenn Du die (Dynamic-) Map anlegst, eine nicht existente ACL zu referenzieren wäre nicht wirklich clever. Gruss Markus Gruss Markus

Den SPF kannst Du ignorieren. Mail Server in Hostname sollte doch selbsterklärend sein. Der Mailserver meldet sich anders als im DNS steht, das ist schlecht. Entweder hat der falschen Hostnamen oder er meldet sich nicht mit dem FQDN. Da sollte stehen (z.B.) "mail.deinedomain.ch", wenn der sich aber nur mit "mail" meldet ist das schlecht - oder wenn er halt von sich behauptet, der "murks.deinedomain.ch" zu sein. Geradeziehen, es gibt einige Spamfilter die dadrauf blocken. Gruss Markus