MYOEY

@blackbox: vielen Dank für deine Antwort!

Noch jemand anders etwas zu SIP Trunk zum ISP sagen kann??

Gute bzw. schlechte Erfahrung mit SIP Trunk?

Hi,

du solltest mal prüfen, ob proxy-arp aktiviert bzw. deaktiviert ist!

Ansont ist das Routing vor der ASA auch noch zu prüfen!

Was sagt eigentlich dein Log???

Hallo,

wie haben eine Cisco VoIP Lösung im Einsatz. Zentraller CUCM und in den Außenstellen jeweils ein Voice Gateway(Cisco Router) mit Standard Sprachleitung(ISDN/S2M)

Nun bittet uns ein ISP eine Lösung mit "SIP-Trunking" also "SIP-Trunk zum Provider"

Welche Erfahrungen habt ihr damit bisher gemacht?

Welche Vorteile bzw. Nachteile hat man nachher?

Lässt sich das Empfehlen?

Ich freue mich über eure Beiträge und bedanke ich mich schon herzlich im Voraus.

Gruss

@all: besten Dank für eure Antworten!

ich habe nachgeschaut, ob man eine "Identity Certificates" über ASDM auf die ASA importieren bzw. hochladen kann aber leider ohne Erfolg!!!

Ich hab nirgendwo ein Button mit "add" oder "import" gesehen! nur "CA Certificates" lassen sich dort mit "add" aus einem File laden!

wie kann man eine Identity Certificate von einer anderen CA auf der ASA imoptieren?

Besten Dank im Voraus!

@thematrix:

also, die ASA ist in diesem Fall nicht die CA sondern ein anderer Server fungiert als CA und dort werden die Certificates erstellt.

Muss man in dem Fall, die erstellten certificate auf der ASA installieren?

Ich habe mal etwas über "certificate revocation list (CRL)" gelesen? muss man die CRL auf der ASA konfigurieren???

Frage:

Auf der ASA sieht man folgende Certificate Typen. Könntest man mir bitte die beiden Begriffe erläutern:

-Identity Certificates

-CA Certificates

Mir ist nicht klar, wofür welche Certificates ist!!!

Besten Dank im Voraus!

Zwei verschiedene VPN-Usergruppen sollten sich über VPN mit Certificate einwählen können.

Dafür ist folgendes vorgesehen:

-ASA5510

-ACS v4.1

-Aladdin eToken

-Notebooks (Aladdin software drauf installiert)

-Anhand der Certificate sind bestimmte Zugriffsrechte verbunden

-Die Certificate wurden auf einen Server generiert und jeder User(jenach Gruppe) einen eToken mit der richtigen Certificate bekommen.

Die Frage lautet: Wo müßen die Certificate auf der Gegenstelle geladen werden? auf der ASA selber oder wo???

Hmmm jetzt bin ich aber total verwirrt!!!

Müssen die Certificate doch auf die ASA geladen oder nicht??? falls nicht worauf sonst?

Die Certificate werden auf eine andere Maschine generiert, also nicht auf der ASA.

kann mal jemand Klarheit schaffen?

Danke,

Danke für deine Antwort/Hilfe!

Aladdin eToken

Wo muss ich die Certifikate sonst laden?

Ich dachte die müssen auf der ASA geladen werden.

Die Authentifizierung der VPN-User erfolgt über Cisco ACS.

ich will veschiedene certificate für verschiedene VPN-Usergruppen mit eToken betreiben.

Auf der ASA unter "Certificate Management findet man zwei Arten von Certificate! Könnte mir jemand bitte den genauen Unterschied und die Verwendung des jeweiligen Typ:

-Identity certificates

-CA Certificates

Besten Dank schonmal!

Grüsse,

ich bin mir nicht sicher, ob es mit "switchport mode trunk" auf Cisco Seite funktionieren würde!!!

Ich glaub, dass du eine Verbindung von Cisco zum HP nur wenn du auf Ciasco Seite den Port als "switchport mode access" konfigurierst.

aber wozu brauchst du eigentlich das native vlan hier? aus bestimmten Grund?

Hallo zusammen,

kann man mehrere certificate für verschiedene vpn-Gruppen auf einer ASA5510 importieren und anschliessend installieren?

Hintergrund: pro VPN-Usergruppe eine bestimmte certificate

Falls ja, wäre ein Link bzw. detaillierte Beschreibung sehr hilfsreich!

Besten Dank im Voraus!

Grüsse

Danke für den link!

und wie soll es mit "NAT" ausschauen?

würde folgendes funktionieren:

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

nat (dmz) 1 0.0.0.0 0.0.0.0

Ziel ist es, dass alles mit der via pppoe zugewiesenen IP Adresse des outside interfaces genatet bzw. gepatet werden.

Besten Dank schon mal im Voraus.

Gruß

und wie geht das bitte?

ein Config example wäre sehr hilfsreich!

Gruß

Hallo,

Ist es möglich zwei DHCP-Pools auf einer Cisco ASA5505 zu betreiben?

Hintergrund ist folgender Lösungsansatz:

DHCP Pool 1:

vlan 1

192.168.1.0/24

vergibt IP's für Interface 1-4

DHCP Pool 2:

vlan 2

192.168.2.0/24

vergibt IP's für Interface 5-7

Die ASA ist Lizenzmässig in der Lage 3 vlan's zu betreiben

vlan 1 --> inside (192.168.1.254/24)

vlan 2 --> dmz (192.168.2.254/24)

vlan 3 --> outside (dsl/ppoe)

Vielen Dank für eure Antworten/Hilfe schon mal im Voraus!

In diesem Sinne wünsche ich euch allen ein frohes Osterfest und besinnliche Tage.

Hallo,

wir haben für unsere mobilen Mitarbeiter VPN eingerichtet. wenn Sie über VPN verbunden sind, können Sie nicht mehr ins Internet, da wir mit absicht keine "Split Tunneling" konfiguriert haben.

Nun ist der Wunsch von einigen MA's dass sie über VPN verbunden sein sollten und nebenbei ins Internet gehen können.

Spricht etwas sicherheitsmäßig dagegen? entsteht hier eine Sicherheitslücke, wenn die VPN User auch nebenbei ins Internet gehen können/dürfen?

Wie sind euere Erfahrungen hierbei?

Ich wäre für jeden Meinung/Antwort dankbar.

Güsse

Hallo,

könnte ich dich mal bitte fragen, warum ihr euch für die Cisco ASA als Ersatz für CP entschieden habt?

was sind die Hauptgründe bzw. ausschlaggebender Gründe?

Danke im Voraus

Gruß

Hallo VoIP Gurus,

ich habe einen Cisco 2821 Voice Bundle,PVDM2-32,64F/512D mit VWIC2-1MFT-T1/E1.

Der Router wird als H.323 Gateway mit S2M Anschluß eingesetzt und soll 2 Conferencen terminieren können.

Ist es mit dieser Hardware-Kombination möglich oder nimmt der E1 Controller alle Resourcen weg, sodass keine Conferencen mehr möglich?

Besten Dank im Voraus!

Grüße

ich hab auf Cisco gefunden, dass es mit IP Adv Service Image funktioniert und sofort drauf getan.

Aber die Verbindung kommt einfach nicht hoch!

hier ist der Log:

*Nov 23 11:22:52.937: BR0 DDR: cdp, 377 bytes, outgoing uninteresting (no dialer-group defined)

*Nov 23 11:22:52.937: BR0 DDR: Packet sent directly to pool or rotary group member : dropping packet.

*Nov 23 11:22:52.937: Di2 DDR: cdp, 375 bytes, outgoing uninteresting (no list matched)

*Nov 23 11:22:58.485: Di2 DDR: ip (s=10.10.0.19, d=192.168.0.10), 60 bytes, outgoing interesting (ip PERMIT)

*Nov 23 11:22:58.485: BR0 DDR: rotor dialout [best] least recent failure is also most recent failure

*Nov 23 11:22:58.485: BR0 DDR: rotor dialout [best] also has most recent failure

*Nov 23 11:22:58.485: BR0 DDR: rotor dialout [best]

*Nov 23 11:22:58.485: BR0 DDR: Dialing cause ip (s=10.10.0.19, d=192.168.0.10)

*Nov 23 11:22:58.489: BR0 DDR: Attempting to dial 123456789

*Nov 23 11:22:58.489: ISDN BR0 **ERROR**: process_bri_call: Outgoing call id 0x80E4 blocked

*Nov 23 11:22:58.489: ISDN BR0 **ERROR**: UserIdle: process_bri_call failed on call to 123456789

*Nov 23 11:23:03.865: Di2 DDR: ip (s=10.10.0.19, d=192.168.0.10), 60 bytes, outgoing interesting (ip PERMIT)

*Nov 23 11:23:09.341: Di2 DDR: ip (s=10.10.0.19, d=192.168.0.10), 60 bytes, outgoing interesting (ip PERMIT)

*Nov 23 11:23:14.821: Di2 DDR: ip (s=10.10.0.19, d=192.168.0.10), 60 bytes, outgoing interesting (ip PERMIT)

*Nov 23 11:23:28.489: BRI0: wait for isdn carrier timeout, call id=0x80E4

*Nov 23 11:23:28.489: ISDN BR0 **ERROR**: CCBRI_Go: NO CCB Src->HOST call id 0x80E4, event 0x5 ces 1

Kann man irgendwelche Auffälligkeiten festellen?

was sagen eigentlich deine debugs:

debug cry isakmp 255

debug cry ipsec 255

und prüf mal bitte folgendes:

crypto map outside_map interface outside

was denn???

da läuft jetzt : c870-advsecurityk9-mz.124-24.T4.bin

Jetzt ist ein Cisco 876 (Version 12.4(24)T4) im Einsatz.

Dieser Router kann sich über ISDN nicht einwählen! im Log sit die folgende Fehlemedlung zu sehen:

*Nov 18 15:47:44.114: ISDN BR0 **ERROR**: process_bri_call: Outgoing call id 0x8003 blocked

*Nov 18 15:47:44.114: ISDN BR0 **ERROR**: UserIdle: process_bri_call failed on call to 57003853

*Nov 18 15:48:14.118: ISDN BR0 **ERROR**: CCBRI_Go: NO CCB Src->HOST call id 0x8003, event 0x5 ces 1

Kann man was damit anfangen?

Danke und Gruß,

hat sich erledigt!

Nach Recherchen auf Cisco Seite hat sich herausgestellt, dass die "VIC-2BRI-NT/TE=" nur für Voice und nicht für Daten geeignet ist.

Trotzdem vielen Danke,

Hallo,

Ich habe ein Problem mit der Anbindung eines Dialer Interfaces an ein BRI Interface an einem Cisco 1760 Router(IOS 12.4(15)T11).

Der Router hat eine "VIC-2BRI-NT/TE=" Karte und ISDN Anschluß.

--------------------------- Config--------------------------

interface BRI0/0

bandwidth 64

no ip address

isdn switch-type basic-net3

isdn static-tei 0

no keepalive

interface Dialer1

ip address 192.168.1.1 255.255.255.252

dialer pool 1

dialer remote-name testuser

dialer idle-timeout 600

dialer enable-timeout 2

dialer string 1234567890

dialer-group 1

ppp authentication chap

no cdp enable

--------------------------- Fehler--------------------------

ISDN-Router(config)#interface BRI0/0

ISDN-Router(config-if)#dialer pool-member 1

^

% Invalid input detected at '^' marker.

Wieso wird der command nicht angenommen? oder muss ich vorher was anderes konfigurieren?

Besten Dank schon in Voraus

Grüße

Danke aber hier ist kein WLC im Einsatz!

was meinst du mit "Im Hardware-Switch keine Trunks konfigurieren"?

in dem Configurations-Beispiel ist ESX mit einem Port-channel an einem einzigen Cisco Switch angebunden aber in unserem Fall ist der ESX mit zwei Port-channels an zwei unterschiedlichen Cisco Switchen angebunden!

Hast du vielleicht ein Beispiel, wie man ESX an zwei unterschiedlichen Cisco Switchen anbinden kann?

Dies wäre hier sehr hilfsreich!