luckystrike04

Hi Norbert, auf beiden Seiten ein Zertifikat von einem öffentlichen Zertifikatsanbieter. Grüße Hier noch ein kleiner Nachtrag. Teste ich die Kommunikation mittels Telnet-Session, erhalte ich nach mail from: sender@senderdomain.com die Meldung 5.7.1 Not authenticated Vielleicht hilft das weiter? Grüße

So, jetzt muss ich das Thema doch noch einmal aufmachen. Die Konfiguration hat soweit ja problemlos geklappt (Zertifikat, Receiveconnector, Sendconnector, TransportConfig etc.). Nur habe ich nun erfahren, dass die Mails doch nicht durchgehen. Sie bleiben in der Queue mit der Fehlermeldung 4.7.5. Certificate vadlidation failure. Woran kann das liegen? Danke und viele Grüße

Danke für die Antworten. Hat bestens funktioniert. Danke und Grüße

Hallo zusammen, ich möchte auf einem SBS2011 am Exchange TLS für die Kommunikation mit dem Exchange eines Partners aktivieren. Jetzt tue ich mich grade ein wenig schwer den richtigen Einstieg zu finden. Zunächst benötige ich ja ein Zertifikat. Kann ich hier einfach ein Wildcard- Zertifikat nehmen? Richte ich dann neue Connectoren für die Kommunikation mit dem betreffenen Remote- Server ein oder bearbeite ich meine vorhandenen Connectoren? Oder bin ich mit dieser Vorgehensweise grundsätzlich auf dem Holzweg? Vielen Dank schonmal für eure Antworten. Grüße Christoph

Ok, muss ich dann den VPN-Cleint als Software noch explizit lizenzsieren?

Danke für Deine Antwort. Wie sieht es denn hier mit dem "klassischen" CiscoVPN-Client aus?

Hallo zusammen, ich habe ein kleine Frage zum Thema AnyConnect-Lizensierung. Benötige ich bei einer ASA5505 mit Standardlizenz (10user usw.) eine zusätzliche Lizenz für den Einsatz von AnyConnect? Danke und Grüße Christoph

So, wieder da. Also ich musste jetzt (aus Termingründen) eine schnelle Lösung finden. Ich habe die ASA auf die Version 7.2 downgegradet, sie dann konfiguriert (inkl. funktinierendem VPN) und sie anschließend wieder auf Version 8.3 upgegradet. Und dann hats funktioniert. Ich habe dann mal die beiden unterschiedlichen NAT-Konfigurationen verglichen: Auf 8.3 konfiguriert(ASDM) (funktioniert nicht): nat (inside,outside) source static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 destination static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 Auf 7.2 konfiguriert(ASDM) und anschließend auf 8.3 upgegradet (funktioniert): nat (inside,any) source static obj-192.168.178.0 obj-192.168.178.0 destination static obj-192.168.100.0 obj-192.168.100.0 Ich werde die Tage weiter dranbleiben und an einer neuen ASA eure debug-tipps testen. Viele Grüße

Hallo zusammen, ich habe ein Problem beim Aufbau eines IPSec-Tunnels zwischen zwei ASA5505. Habe das bisher schon mehrmals erfolgreich konfiguriert. Aber diesmal schießt irgendetwas quer. Der Tunnel wird einfach nicht aufgebaut. Der Tunnel wird via VPN-Wizard konfiguriert. Die Parameter wurden mehrfach auf Richtigkeit überprüft. Sobald ich vom internen Netz hinter ASA1 auf eine Ressource im internen Netz hinter ASA2 zugreifen will passiert nichts. In den Syslog-Messages sehe ich keinerlei Meldungen zum Tunnelaufbau sondern nur, dass mein Paket von der ACL denied wurde. Die betreffenden Pakete werden also wohl gar nicht als "tunnelrelevant" angesehen. Hier mal ein kurzer Auszug aus der Konfiguration von ASA1: ... access-list outside_2_cryptomap extended permit ip 192.168.100.0 255.255.255.0 192.168.178.0 255.255.255.0 ... nat (inside,outside) source static NETWORK_OBJ_192.168.100.0_24 NETWORK_OBJ_192.168.100.0_24 destination static NETWORK_OBJ_192.168.178.0_24 NETWORK_OBJ_192.168.178.0_24 ... crypto map outside_map 2 match address outside_2_cryptomap crypto map outside_map 2 set pfs group1 crypto map outside_map 2 set peer xxx.xxx.xxx.xxx crypto map outside_map 2 set transform-set ESP-AES-256-SHA ... Woran kann das liegen, dass die betreffenden Pakete nicht den Tunnelaufbau initiieren? Viele Grüße Christoph

So... Problem scheint gelöst. Ich hatte an einem Vista-Client DHCP enabled und am zweiten eine alternative IP vergeben. Die ASA weist den VPN-Clients eine IP aus einem separaten IP-Pool zu. Diese Einstellungen scheinen sich nicht zu vertragen. (Routingproblem?) Mit einer statisch konfigurierten IP funktioniert jetzt jedenfalls. Vielen Dank für Eure Hilfe

Danke für die schnelle Antwort. Hab ich noch nicht gemacht und werd ich jetzt sofort machen...

Hallo zusammen, auf einem Vista-Rechner (32-Bit-Version) habe ein kleines Problem mit dem Cisco VPN-Client (5.0.03.0560) bei der Verbindung auf eine ASA5505. Ich kann den Tunnel aufbauen, jedoch funktionieren dann keinerlei Services wie Ping, RDP etc... Von einem XP-Client funktionierts einwandfrei. Ich habe auf dem Vista-Client testweise sämtliche Firewalls, Viren- und Spywareschutzprogramme deaktiviert. Ich habe das Ganze auch schon auf einem anderen Vista-System getestet. Gleiches Problem. Wär super, wenn da jemand einen Tipp für mich hätte. Danke und Gruß

Die Reverse Lookup Zone hatte ich bereits konfiguriert. Allerdings nur für den IP-Kreis von StandortA. Habe jetzt auch für die IP-Kreise der beiden anderen Standorte eine RLZ konfiguriert und siehe da, es klappt. Vielen Dank für Eure Hilfe!

Danke für die schnelle Antwort Daim. Sorry, hab ich natürlich vergessen... Alle drei DC's sind W2K3-Server. Ich habe jetzt auf dem ersten DC (StandortA) die FLZ auf AD-integriet gestellt und an StandortB einen neuen DC aufgenommen. Hat soweit auch alles geklappt. (FWZ wurde "herüberrepliziert") Nur wenn ich auf diesen neuen DC ein nslookup mache, bekomme ich die Meldung, dass der Servername für die Adresse xxxxx nicht gefunden werden kann. Was muss ich noch machen, damit Clients an StandortB Namen über den DC an ihrem Standort auflösen können? Danke schonmal...

Hallo zusammen, wir planen momentan ein AD, welches sich über drei Standorte erstrecken soll. Für die Standorte sollen keine Subdomains verwendet werden. (sprich nur eine Domäne xyz.local) Die drei Standorte sind via Site-to-Site-VPN miteinander verbunden und haben jeweils einen eigenen IP-Kreis. (StandortA: 192.168.1.x; StandortB: 192.168.10.x; StandortC: 192.168.100.x). Es ist geplant, dass jeder Standort seinen eigenen Domaincontroller bekommt. Welche DNS-Konfiguration würde sich hier anbieten bzw. sollte in diesem Szenario eingesetzt werden? Bin für jeden hilfreichen Tipp dankbar. Grüße

AES klappt. Also nochmal vielen Dank.

So, hab ich gemacht und - siehe da - es funktioniert. Wo wir schon dabei sind. Welche Verschlüsselungseinstellungen sind den momentan empfehlenswert? Vielen Dank für die Hilfe und viele Grüße. luckystrike

Hi Wordo, was meinst Du mit nur einem Transformset? Mal ein kurzer Auszug aus der Config der ASA. Die PIX-CFG sieht genauso aus. ... crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set pfs crypto map outside_map 20 set peer "ip-remoteside" crypto map outside_map 20 set transform-set ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 ... Was mir auch noch nicht ganz klar ist, ist der Eintrag "...set pfs". Den habe ich ausschließlich auf der ASA.

Hallo zusammen, ich habe mal wieder ein VPN-Problem. Ich möchte ein Site-to-Site-VPN zwischen einer PIX501 und einer ASA5505 aufbauen. Der Tunnel wurde auf beiden Seiten mittels PDM/ASDM konfiguriert. Möchte ich den Tunnelaufbau von einem Client hinter der ASA anstossen, funktioniert dies einwandfrei. Wenn ich aber versuche den Tunnel von einem Client hinter der PIX zu starten, wird dieser nicht aufgebaut. Im Log der ASA ist zu sehen dass Phase1 erfolgreich war. Bei Phase2 kommt dann der Fehler: All IPSec SA proposals found unacceptable! PIX-Version ist 6.3, die ASA läuft mit der 7.2er-Version. luckystrike

Nur so zur Info: Ich habe die ASA komplett neu konfiguriert und nat-traversal "mit eingebaut". und schon klappts.

Bin mittlerweile auch über das Thema NAT-Traversal gestolpert. Wenn ich aber NAT-Traversal auf der Kunden-ASA eintrage, bekomme ich gar keine VPN-Verbindung mehr hin. Muss man eigentlich im Cisco-VPN-Client auch Einstellungen ändern um das Problem zu beheben?

Hi J@e, wo muss ich das IPSEC-over-TCP genau eintragen? Hab die ASA bisher nur via ASDM konfiguriert. Das Protokoll ESP habe ich bisher nicht freigegeben. Wie ist das gemeint? Auf der externen ASA ?

Hallo zusammen, ich möchte mich via Cisco-VPN-Client auf eine ASA5505 bei einem Kunden einwählen. (normales Remote-VPN) Wir selber sind auch über eine ASA ans Internet angebunden. Die VPN-Verbindung wird auch aufgebaut ( Schloss schliesst sich...), nur geht dann scheinbar kein Traffic durch den Tunnel (versuche mich via RemoteDektop auf einen Server beim Kunden zu Verbinden). Wenn ich mich von zu Hause (Netgear-Router) einwähle, funktioniert alles einwandfrei. Hat da vieleicht jemand einen Rat für mich? Danke schonmal. luckystrike

Seit der Reparaturinstallation kommen wir in den abgesicherten Modus auch nicht mehr rein. Es erscheint nun die Fehlermeldung "Setup kann im abgesicherten Modus nicht ausgeführt werden". Diese Meldung kann mit OK bestätigt werden aber dann ist Ebbe... Offenbar ist die Reparaturinstallation noch garnicht abgeschlossen --- lässt sich aber auch nichts machen... Hatte jemand schonmal etwas in der Art ?

Hallo zusammen, wir haben folgendes Problem: Ein 2003-Server (Domaincontroller) bleibt nach einem Reboot im Ladebildschirm (Windows-Logo) hängen. Der Balken läuft kontinuierlich weiter und es gibt keinerlei Fehlermeldungen,Bluescreens, etc. Jedoch geht ab hier nichts mehr weiter. Im "Abgesicherten Modus" lässt sich die Maschine ohne Probleme starten. Im Eventlog konnten wir aber nichts Aussergewöhliches finden. Auch eine Reparaturinstallation hat keinen Erfolg gebracht. Zur Info: Der Neustart erfolgte aufgrund von MS-Updates, die wir im aber mittlerweile wieder deinstalliert haben (Abgesicherter Modus). Desweitern wurde kurz zuvor noch ein Druckertreiber installiert (HP3380). Für jegliche Hilfe sind wir sehr dankbar.