luckystrike04

Hi Norbert, auf beiden Seiten ein Zertifikat von einem öffentlichen Zertifikatsanbieter. Grüße Hier noch ein kleiner Nachtrag. Teste ich die Kommunikation mittels Telnet-Session, erhalte ich nach mail from: sender@senderdomain.com die Meldung 5.7.1 Not authenticated Vielleicht hilft das weiter? Grüße

So, jetzt muss ich das Thema doch noch einmal aufmachen. Die Konfiguration hat soweit ja problemlos geklappt (Zertifikat, Receiveconnector, Sendconnector, TransportConfig etc.). Nur habe ich nun erfahren, dass die Mails doch nicht durchgehen. Sie bleiben in der Queue mit der Fehlermeldung 4.7.5. Certificate vadlidation failure. Woran kann das liegen? Danke und viele Grüße

Danke für die Antworten. Hat bestens funktioniert. Danke und Grüße

Hallo zusammen, ich möchte auf einem SBS2011 am Exchange TLS für die Kommunikation mit dem Exchange eines Partners aktivieren. Jetzt tue ich mich grade ein wenig schwer den richtigen Einstieg zu finden. Zunächst benötige ich ja ein Zertifikat. Kann ich hier einfach ein Wildcard- Zertifikat nehmen? Richte ich dann neue Connectoren für die Kommunikation mit dem betreffenen Remote- Server ein oder bearbeite ich meine vorhandenen Connectoren? Oder bin ich mit dieser Vorgehensweise grundsätzlich auf dem Holzweg? Vielen Dank schonmal für eure Antworten. Grüße Christoph

Ok, muss ich dann den VPN-Cleint als Software noch explizit lizenzsieren?

Danke für Deine Antwort. Wie sieht es denn hier mit dem "klassischen" CiscoVPN-Client aus?

Hallo zusammen, ich habe ein kleine Frage zum Thema AnyConnect-Lizensierung. Benötige ich bei einer ASA5505 mit Standardlizenz (10user usw.) eine zusätzliche Lizenz für den Einsatz von AnyConnect? Danke und Grüße Christoph

So, wieder da. Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden. Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet. Und dann hats funktioniert. Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen: Auf 8.3 konfiguriert(ASDM) (funktioniert nicht): nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert): nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0 Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen. Viele Grüße

Hallo zusammen, ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505. Habe das bisher schon mehrmals erfolgreich konfiguriert. Aber diesmal schießt irgendetwas quer. Der Tunnel wird einfach nicht aufgebaut. Der Tunnel wird via VPN-Wizard konfiguriert. Die Parameter wurden mehrfach auf Richtigkeit überprüft. Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts. In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde. Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen. Hier mal ein kurzer Auszug aus der Konfiguration von ASA1: ... access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0 ... nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 ... crypto map outside_map 2 match address outside_2_cryptomap crypto map outside_map 2 set pfs group1 crypto map outside_map 2 set peer xxx.xxx.xxx.xxx crypto map outside_map 2 set transform-set ESP-AES-256-SHA ... Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren? Viele Grüße Christoph

So... Problem scheint gelöst. Ich hatte an einem Vista-Client DHCP enabled und am zweiten eine alternative IP vergeben. Die ASA weist den VPN-Clients eine IP aus einem separaten IP-Pool zu. Diese Einstellungen scheinen sich nicht zu vertragen. (Routingproblem?) Mit einer statisch konfigurierten IP funktioniert jetzt jedenfalls. Vielen Dank für Eure Hilfe

Danke für die schnelle Antwort. Hab ich noch nicht gemacht und werd ich jetzt sofort machen...

Hallo zusammen, auf einem Vista-Rechner (32-Bit-Version) habe ein kleines Problem mit dem Cisco VPN-Client (5.0.03.0560) bei der Verbindung auf eine ASA5505. Ich kann den Tunnel aufbauen, jedoch funktionieren dann keinerlei Services wie Ping, RDP etc... Von einem XP-Client funktionierts einwandfrei. Ich habe auf dem Vista-Client testweise sämtliche Firewalls, Viren- und Spywareschutzprogramme deaktiviert. Ich habe das Ganze auch schon auf einem anderen Vista-System getestet. Gleiches Problem. Wär super, wenn da jemand einen Tipp für mich hätte. Danke und Gruß

Die Reverse Lookup Zone hatte ich bereits konfiguriert. Allerdings nur für den IP-Kreis von StandortA. Habe jetzt auch für die IP-Kreise der beiden anderen Standorte eine RLZ konfiguriert und siehe da, es klappt. Vielen Dank für Eure Hilfe!

Danke für die schnelle Antwort Daim. Sorry, hab ich natürlich vergessen... Alle drei DC's sind W2K3-Server. Ich habe jetzt auf dem ersten DC (StandortA) die FLZ auf AD-integriet gestellt und an StandortB einen neuen DC aufgenommen. Hat soweit auch alles geklappt. (FWZ wurde "herüberrepliziert") Nur wenn ich auf diesen neuen DC ein nslookup mache, bekomme ich die Meldung, dass der Servername für die Adresse xxxxx nicht gefunden werden kann. Was muss ich noch machen, damit Clients an StandortB Namen über den DC an ihrem Standort auflösen können? Danke schonmal...

Hallo zusammen, wir planen momentan ein AD, welches sich über drei Standorte erstrecken soll. Für die Standorte sollen keine Subdomains verwendet werden. (sprich nur eine Domäne xyz.local) Die drei Standorte sind via Site-to-Site-VPN miteinander verbunden und haben jeweils einen eigenen IP-Kreis. (StandortA: 192.168.1.x; StandortB: 192.168.10.x; StandortC: 192.168.100.x). Es ist geplant, dass jeder Standort seinen eigenen Domaincontroller bekommt. Welche DNS-Konfiguration würde sich hier anbieten bzw. sollte in diesem Szenario eingesetzt werden? Bin für jeden hilfreichen Tipp dankbar. Grüße