Cyver

Also .. Problem gelöst bzw. aufgeklärt. Wie schon von blackbox erwähnt .. es ist ein physikalisches Hinderniss der ASA - kurzum .. geht net ! Lösung -> hab aus dem /27 zwei /28 gemacht und lasse IPSEC direkt auf dem ankommenden Interface terminieren :cool: . ich habe eine voll virtualisierte infra .. und ich will mir gern ersparen überall rules, dns records etc. zu ändern. und auf den vmware clustern die vlans umdrehen. <sarkasmus> nenn mich ruhig faul aber hin und wieder erspar ich mir gern unnötige arbeit damit ich mehr zeit für die wirklich wichtigen probleme hab - asa zb. </sarkasmus> :D Danke jungs trotzdem für die lösungsansätze !!!! & schönes WE mfg Oliver

Hmmm .. naja.. nat auf dem 3560 .. ich glaub das tuh ich mir und "ihm" nicht an :rolleyes: aber trotzdem danke ! ja das ewige drama mit den wan ips .. wenns nur das eine netz wäre .. sind ja eh nur 4 x /27 und 1 x /24 .. wollte hald sparsam damit umgehen - werd somit eines opfern bzw. vl bekomm ich ja noch ein kleines dazu (mal provider fragen :cool: ) :) Danke & frohe Ostern

Also ums aufzuklären (mea culpa - vl hab ich mich etwas kryptisch ausgedrückt): Wenn Client im DMZ ist (VLAN 200 mit dem Subif als GW) auf die ASA -> VPN OK ! Wenn Client von Internet kommt (INET -> WARP (10.10.2.0/24) -> ASA -> Subif ) dann ... nada ! @ blackbox - sowas hab ich mir schon gedacht .. die frage stellt sich nur ..was gibts für eine alternative .. ich will meine WAN Netze eigentlich in einem DMZ nutzen .. aber auch VPN machen können. Wie würdet ihr das lösen ?

Jup - hab extra nochmal alle crypto maps rausgeschmissen und neu gemacht .. leider nicht wirklich eine Besserung in Sicht. Was mir noch aufgefallen ist .. wenn ich einen Ping auf dem Interface (von aussen) mache dann hab ich zwar ein Build Connection aber auch gleich wieder ein Teardown .. da kommen einfach keine Pakete an.... die frage is nur WARUM .. :suspect: – Ich glaub das problem hat sich erübrigt .. -> Vpn Terminating On Sub-interface :(:(:(:( Wobei sich immer noch die Frage stellt ..warums dann trotzdem funktioniert wenn ichs vom DMZ aus aufbaue .. genug für heute. Danke mal für eure Hilfe bis jetzt .. die Denkanstösse waren schon super ! mfg Oliver

Also ich hab jetzt mal eine Trace von einem host im internet .. zum eth0/0 gemacht .. paket bleibt wegen ACL fehler dort bei der default-deny regel stehen (und diese ist nicht löschbar) - auch wenn ich eine any-any-permit mache ändert das nichts. Es hat für mich den anschein als wüsste er auf dem eth0/0 nicht wohin mit dem paket für seine eigene ip. alle anderen die dann hinter dem eth0/1 liegen sind erreichbar. Kann es vl damit zusammen hängn dass das Interface auf das er hin soll ein subinterface ist ? (Also mit vlan tag) .. somit es eigentlich auf layer 2 nicht erreichbar ist ? (obwohl .. der traffic nur auf der asa selbst seinen weg geht .. *hmm*)

same-security-traffic permit intra-interface ist im globalen kontext aktiv. Glaubst hilfts was auf den 2 interfaces auch zu aktivieren ? Paket Tracer quäl ich jetzt schon 4 tage lang .. bringt nicht wirklich resultate. (er meint eine ACL wäre der grund - wenn ich sie rauslösche ändert sich trotzdem nichts .. ) Hab grad den PC(apture)W angeworfen und schau mir die pakete im whireshark an .. update folgt. UPDATE: Also .. pakete kommen richtig auf der ASA (Source, destination, ...) an .. allerdings scheint es sie nicht wirklich zu kümmern..

Hey .. ich bin über ALLE Ideen dankbar .. :cool: same-security-traffic permit intra-interface ist aktiv ..

Die lokale Bezeichnung spielt keine Rolle .. einzig allein das richtige protokoll machts aus. Meine Erfahrung zeigt das ein "Protocolless" EtherChannel (bei homogener Cisco Infra) besser funktioniert als LACP (PAgP bei Cisco) -> mode on beim channel command auf dem interface statt active (lacp) Wenn du es kannst (Wartungsfenster ?) mach danach einen shut der physikalischen interfaces - warte ein paar sekunden und dann wieder up damit. Dann sollte sich auch der EtherChannel wieder auskennen. *Otaku19 zustimm* ;) Da fällt mir aber noch Spanning-Tree ein (grund warum ein port down ist) ? check das mal .. -> sh spanning-tree vlan xxx

Hoi Jungs! Habe da ein etwas verzwicktes Problem mit einer Cisco ASA - bzw. ich kapiers nicht ganz - die ASA kann eh nichts dafür :rolleyes: . Und zwar .. ich hab eine etwas komplizierte WAN Infrastruktur .. daher hierzu ein kleine skizze: Erklärung: Ich hab einen Cisco 3560 Switch der über einen (nonswitchport) ein /27 WAN Netz geroutet bekommt (via einem vermittlungsnetz). Von diesem Switch aus geht es wieder weiter (über ein VLAN weil jede menge andere infra dazwischen ist) via STATIC ROUTE zur ASA (dafür wieder ein vermittlungsnetz 10.10.2.0). Die ASA hat dann auf einem anderen (virtuellen) Interface (VLAN 200) die erste nutzbare IP des gerouteten Subnetztes. Somit .. kann man von einem Routing in ein DMZ sprechen .. alle weiteren IPs hinter der ASA im VLAN 200 sind somit über die ASA nutzbar und mit ACLs für einzelne Services versehen - soweit auch kein Problem. Allerdings .. mein Problem nun: Ich will auf dem Eth0/1.200 Interface IPSEC Remote und Site2Site Tunnel terminieren lassen (Tunnel Endpunkt). Das ist aber allerdings ein Ding der Unmöglichkeit weil ich es irgednwie nicht schaffe dort ein Paket hinzubekommen - alle Ips dahinter (in der DMZ) kann ich problemlos erreichen - nur die eigene der ASA nicht (von der DMZ zur ASA gehts allerdings). Es steht auch dazu NICHTS im Logg. ACLs hab ich dazu auch runtergeschraubt das man eigentlich "fast alles" darf. Ausserdem müsste ich dann ein DENY sehen .. :suspect: Hat jemand eine Idee dazu ? :confused: PS: Komplette Config (weil sehr sehr lang und mächtig) will ich euch jetzt nicht zuposten .. es geht mir viel mehr ums grundverständnis und um einen event. denkfehler .. aber wenns hilft tus ichs trotzdem gern. DANKE & mfg Cyver

Der Weg ist mir schon klar .. 5.5 -> 2003 + 2007 (Koexistenz) dazu -> Postfächer / OAB / etc verschieben -> 2003 entfernen. Hoff ich jetzt zumindest mal ... ;)

Hätte ja nicht mal was dagegen .. nur mein Chef = IT-Leiter leider "noch" :) (ich arbeite dran ....) Allein schon Exchange 2007 wäre supa - wird aber leider nur 2003 (*freufreu auf die Migration von 5.5) :suspect: Mfg Oliver

Danke Jungs ! Werde mir noch BestPractice von ESX & Windows 64/32 bit anschauen aber ich glaub dann bleib ich bei 32 bit. Die GPMC ist schon täglich Werkzeug und nicht immer hab ich einen PC mit Admins Tools vor mir. Sprachversion wird englisch - allllles .. ausser die Terminalserver für die "armen" User. Nochmals danke & schönen (hoffentlich ruhigen) Arbeitstag. mfg Oliver

Hoi @ all ! Ich hätte da eine grundlegende Frage: Macht es irgendeinen Unterschied bzw. hat es irgendwelche Auswirkungen wenn ich für neue DCs eine englische 64 Bit Version (W2k3Std) einsetze oder sollte man doch eher noch bei 32 bit bleiben ? (Background: Ganz neues AD mit NT4 bidirektionalem Trust) Und .. bei DFS: Brauche ich nur beim Fileserver eine w2k3ent oder müssen die DCs auch Enterprise sein wenn ich merhere Namenstämme verwalten will ? Danke & mfg Oliver

Hi - danke für die Antwort ! TOOL -> HD Tacho von Simpli Software ( ~ 60 MB/S unter W2k3STD) -> DD /dev/zero auf image file und Peformance Monitor am FC-Switch (~ 71 MB/S unter ESX 3.0.1) BLOCKSIZE - Volume Blocks Größe 16 KB am Filer - Windows Standart Settings SCHREIB / LESEVERH. Im Moment bei 50 / 50, auch schon mit 70/30 getestet. Kein Unterschied. Also was is noch drin und vorallem wo kann ich ansetzen ? DANKE & mfg Oliver

Hi @ all ! Ich hab folgendes Problem .. eigentlich is es auch keines, nur hald kein zufriedenstellender Zustand ;) Hab einen HP DL380 G4 mit Qlogic HBA und MSA 1500cs via FC an SAN angebunden. Allerdings schaffe ich nur 56 - 60 MB/s zu lesen (sequ.) und das erscheint mit bei einem RAID 5 mit 4 x 300 GB 10k zu wenig. Es gibt beim QLOGIC Setup eine Option ob man den STOR-Driver oder SCSI-Driver verwenden soll - welcher wäre der Richtige ? bzw. kenn jemand Optimierungspotenzial in dem Zusammenhang ? Danke & sonnige Grüße aus AT Oliver