MYOEY
-
Gesamte Inhalte
320 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von MYOEY
-
-
Danke für deine Antwort!
die beiden Switche1+2 sind reine L2 Switche und der Core ist quasi der Router!
Wie kann man am besten das auf dem Core-Switch mit Loadbalancing über beide Verbindungen konfigurieren?
-
Aus Redundanzgründen habe ich folgendes vor:
Server1
NIC1: 10.20.1.4/24
NIC2: 10.20.1.5/24
-Der Server1 ist mi dem Switch1 über NIC1 und mit dem Switch2 über NIC2 verbunden.
-Switche1 und Switch2 sind mit einem Core-Switch verbunden.
Sodass der Server über beiden Adressen bzw. über beiden Switchen erreichbar ist.
Würde das problmlos gehen?
Schöne Grüße
-
Viiiiiiielen Dank ... mit der Zeilen funktioniert es jetzt :-)
-
Hallo zusammen,
Ein Cisco VPN Client verbindet sich übers Internet mit der PIX515 und bekommt eine IP Adresse(192.168.192.191) zugewiesen und versucht einen Server(10.10.20.77 ) im LAN hinter der Firewall anzupingen aber leider ohne Erfolg! aber wenn dieser Server die IP des Clients(192.168.192.191) anpingt, bekommt sofot eine Antwort!!!
d. h. der Server kann den Client anpingen und umgekehrt nicht!
Syslog sagt:
%PIX-6-609001: Built local-host outside:192.168.192.191
%PIX-6-609001: Built local-host inside:10.10.20.77
%PIX-3-305005: No translation group found for icmp src outside:192.168.192.191 dst inside:10.10.20.77 (type 8, code 0)
%PIX-6-609002: Teardown local-host outside:192.168.192.191 duration 0:00:00
%PIX-6-609002: Teardown local-host inside:10.10.20.77 duration 0:00:00
Die Konfiguration der PIX:
PIX515# sho run
: Saved
:
PIX Version 7.0(1)
names
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address x.x.x.x 255.255.255.224
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.252
!
enable password TgrUZCH.nAUBBG5iSgLW encrypted
passwd TgrUC.nAUB5TfgiSgLW encrypted
hostname PIX515
ftp mode passive
access-list inside extended permit ip any any
access-list outside extended permit tcp any any eq ssh
access-list outside extended permit icmp any any
access-list 100 extended permit ip any 192.168.192.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
logging trap debugging
mtu outside 1500
mtu inside 1500
ip local pool Clients-Pool 192.168.192.191-192.168.192.254
no failover
monitor-interface outside
monitor-interface inside
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outside in interface outside
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1
route inside 172.16.0.0 255.255.255.0 10.10.10.2 1
route inside 10.10.20.0 255.255.255.0 10.10.10.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy client-group internal
group-policy client-group attributes
vpn-idle-timeout 30
username admin password 3USUcOPFUiMCO4Jk encrypted privilege 15
aaa authentication ssh console LOCAL
crypto ipsec transform-set vpntransport esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 10 match address 100
crypto dynamic-map outside_dyn_map 10 set transform-set vpntransport
crypto map outside_map 65 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp nat-traversal 30
telnet 192.168.192.0 255.255.255.0 inside
telnet timeout 5
ssh x.x.x.x 255.255.255.0 outside
ssh timeout 60
console timeout 0
tunnel-group client-group type ipsec-ra
tunnel-group client-group general-attributes
address-pool Clients-Pool
default-group-policy client-group
tunnel-group client-group ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect http
!
service-policy global_policy global
: end
Was fehlt eigentlich noch? habe ich da was übersehen??
Dane im voraus!
Gruß
-
Moin Moin,
Kann man mit der folgenden Meldung eines Cisco Catalyst4006 Switches was anfangen:
Aug 26 11:01:36: %C4K_PKTPROCESSING-4-UNKNOWNBRIDGEORROUTE: (Suppressed 7 times)Unable to determine whether to route or bridge replicated software-processed packet with source address 00:E0:81:41:24:0A and destination address 00:00:0C:07:AC:01
Was bedeutet das eigentlich?
Danke im voraus!
Gruß
-
ja der Client 192.168.131.237 streamt und der host x.x.x.34 greift diesen Stream übers Internet ab! und die Verbindung bricht immer wieder ab!
Mir gehts nur darum festzustellen, von wo aus die connection abgebaut wird!
Aber die Frage ist ob man Anhand der beiden Syslogzeilen der PIX erkennen könnte, von welche Seite die Verbindung abgebaut wird?
oder wie kann ich das am besten überwachen bzw. feststellen?
Gruß
-
Keine Idee oder Tipp???
-
Hallo,
aus dem Syslog(PIX) sind die beiden Zeilen einer Kommunikation zwischen 192.168.131.237 und x.x.x.34
Die Verbindung wird von der Outside(x.x.x.34) iniziirt und bricht immer wieder in unregelmässigen Abständen ab!
2007-08-14 18:39:25 Local4.Info 192.168.135.3 %PIX-6-302013: Built inbound TCP connection 8638521 for outside1:x.x.x.34/28932 (x.x.x.34/28932) to inside:192.168.131.237/554 (y.y.y.y/554)
2007-08-14 18:39:35 Local4.Info 192.168.135.3 %PIX-6-302014: Teardown TCP connection 8638521 for outside1:x.x.x.34/28932 to inside:192.168.131.237/554 duration 0:00:10 bytes 259 TCP FINs
wie kann man erkennen ob die Verbindung von innen oder von außen abgebrochen wird?
Kann man das anhand der Syslogzeilen irgendwie erkennen?
Danke!
Gruß
-
Danke für die Antwort aber da komme ich leider nicht weiter!
sobald ich auf den Link klicke, werde ich aufgefordert, mich anzumelden!!
-
wenn die Zugangsdaten soweit richtig sind, reicht dir folgende commands:
interface Vlan1
nameif outside
security-level 0
ip address pppoe setroute
Falls es immer noch nicht funktioniert, poste bitte dein config!
Gruss
-
hallo,
hat jemand vielleicht ein config Example für Multicast over a IPSec Tunnel zwischen zwei ASAs bzw PIXs version7.x?
Gruß
-
Danke für die Antwort!
Du hörst dich so an als du was konkretes hast :)
ja, würde ich gerne aber wie soll es bitte gehen?
Hast du vielleicht ein Config Example wie man den Multicast dur den GRE-Tunnel zwischen zwei ASAs fliessen lässt?
Gruß
-
Hallo,
die Kommunikation läuft soweit bis auf streaming!
[Multicast receiver]-----[ASA5505]-------(Internet)------[ASA5505]-----[Multicast Server]
welche commands auf der ASA(Clientseite) sowohl auch auf der ASA(Serverseite) sind da notwendig damit der Client den Stream vom Multicast-Server abgreifen kann?
hat man da vielleicht ein config Example?
Danke im voruas
Gruß
-
Hallo,
kann man 4-SDSL-Leitungen(je 2MBits) von T-Com zur einer 8MBits-Leitung bündeln?
Falls ja, welcher Cisco Router lässt sich für die 4-SDSL-Leitungen empfehlen?
Da es je Leitung eine feste-IP hat, sind dann die eingehende Daten über nur eine Leitung oder gibt es da eine Möglichkeit die 4IPs zur einer einheitlichen IP Adresse?
Hat man damit vielleicht schon mal Erfahrungen?
Dnake & Gruß
-
Kann sein, dass Windows Vista den Cisco VPN Client nicht unterstützt?
hat jemand schon mal Cisco VPN Client unter Windows Vista erfolgreich installiert?
Fallls ja welche Version denn?
Gruß
-
Danke czappb :-)
nun läuft's... es lag eindeutig an das statische NAT!
statt die "IP Adresse" einfach "interface" eingetragen, wie du beschrieben hast, und schon lief es...
nun sieht die Zeile so aus:
static (inside,outside) tcp interface 4444 192.168.1.1 4444 netmask 255.255.255.255
Vielen Dank noch mal
Gruß
-
Es handelt sich um einen DSL-Anschluss mit feste-IP!
config:
ASA5505# sho run
: Saved
:
ASA Version 7.2(2)
!
hostname ASA5505
domain-name default.domain.invalid
enable password BSlcyjpPoLLK1gk7VHE encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address pppoe setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
passwd BSlcyjpLK1gk7VHE encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain
access-list outside_access_in extended permit udp any interface outside eq 4444
pager lines 24
logging enable
logging standby
logging buffered debugging
logging trap debugging
logging asdm informational
logging host inside 192.168.1.10
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
asdm image disk0:/asdm-522.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) udp X.X.X.X 4444 192.168.1.1 4444 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
aaa authorization command LOCAL
aaa local authentication attempts max-fail 5
http server enable
http 192.168.1.10 255.255.255.255 inside
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 outside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt noproxyarp inside
sysopt noproxyarp outside
telnet 192.168.1.10 255.255.255.255 inside
telnet timeout 5
ssh timeout 60
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname ****************@t-online-com.de
vpdn group pppoe_group ppp authentication chap
vpdn username **************@t-online-com.de password ************
dhcpd ping_timeout 750
dhcpd auto_config outside
!
dhcpd address 192.168.1.10-192.168.1.50 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect http
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f0559e4df00ce61dca1a08f6057327e7
: end
was ist hier bitte verkehrt?? ooh Bin verzweifelt!!!!!
Schau dir mal bitte die config genau an, ob du vielleicht irgendwo einen Fehler siehst!
Danke!
-
Hier mal der "packet-tracer" Versuch:
ASA5505# packet-tracer input outside udp y.y.y.y 9826 x.x.x.x 4444
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,outside) udp x.x.x.x 4444 192.168.1.1 4444 netmask 255.255.255.255
match udp inside host 192.168.1.1 eq 4444 outside any
static translation to x.x.x.x/4444
translate_hits = 0, untranslate_hits = 242382
Additional Information:
NAT divert to egress interface inside
Untranslate x.x.x.x/4444 to 192.168.1.1/4444 using netmask 255.255.255.255
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in x.x.x.x 255.255.255.255 identity
Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0x353fa00, priority=0, domain=permit, deny=true
hits=242394, user_data=0x9, cs_id=0x0, flags=0x1000, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
ist dir mal was aufgefallen??
-
Mit "interface" war "Zielhost" gemeint bzw die IP adresse des outside-Interfaces!
die access-list sieht folgermassen aus:
access-list outside_access_in extended permit udp any host x.x.x.x eq 4444
aber die access-list wird nicht mal gematcht und die ASA dropt einfach die packets!!!
mit "sho conn" sehe ich auch überhaupt keine connection!
sho xlate :
ASA5505# sho xlate
1 in use, 1 most used
PAT Global x.x.x.x(4444) Local 192.168.1.1(4444)
Edit:
ASA5505# sho asp dro
Frame drop:
Flow is denied by configured rule 242390
TCP DUP and has been ACKed 2
Interface is down 2
Non-IP packet received in routed mode 1
Flow drop:
hast du da noch eine Idee??
Danke im voruas!
Gruß
-
Ich habe die folgende statische NAT:
static (inside,outside) udp interface 4444 192.168.1.1 4444 netmask 255.255.255.255
und die folgende access-listen:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_access_in extended permit udp any host interface eq 4444
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www
access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https
access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain
und trotzdem funktioniert die statische NAT nicht!! ich bekomme ständig die folgende Meldung im logg:
%ASA-7-710005: UDP request discarded from x.x.x.x/1026 to outside:interface/4444
Es ist mir auch aufgefallen daß die access-list überhaupt nicht gematcht sind!!!
access-list outside_access_in line 1 extended permit udp any host interface eq 4444 (hitcnt=0)
hab ich da was übersehen oder was??
Könntest du mal bitte dein config posten?
Gruß & Danke
-
d. h. das Problem lag an " any any" oder was?
Ist dein Exchange von draußen erreichbar?
Gilt das nur für TCP oder auch für UDP?
Kannst du mal bitte versuchen, eine UDP Portforwarding hinzukriegen!
Ich hab's leider nicht hingekriegt :-(
Gruß
MYOEY
-
und läuft jetzt?
-
was sagt "sho logg"?
welche Meldungen siehtst du da auf der ASA?
Grüße
MYOEY
-
Moin Moin,
Weiß jemand ob die Cisco 7600 Series Router Firewall Services Module für Catalyst 6500 Series Switch failoverfähig sind?
wenn man 2 6500er und 2x FWSM drin hat, kann man die im failovermodus betreiben?
Gruss
MYOEY
Redundanz
in Cisco Forum — Allgemein
Geschrieben
Es geht hier nur um reine Redundanz.
Ziel ist der Server1 redundant angebunden sein, sodass im Fall dass einer der beiden Switche ausfällt, bleibt über den anderen erreichbar und zwar nur intern!
Wie kann ich den Server optimal und redundant an den beiden Switchen anbinden?
DIe beiden NICs müssen im gleichen IP Range bzw. gleichen VLAN bleiben!
Gruß