Cyver

Also .. Problem gelöst bzw. aufgeklärt. Wie schon von blackbox erwähnt .. es ist ein physikalisches Hinderniss der ASA - kurzum .. geht net ! Lösung -> hab aus dem /27 zwei /28 gemacht und lasse IPSEC direkt auf dem ankommenden Interface terminieren :cool: . ich habe eine voll virtualisierte infra .. und ich will mir gern ersparen überall rules, dns records etc. zu ändern. und auf den vmware clustern die vlans umdrehen. <sarkasmus> nenn mich ruhig faul aber hin und wieder erspar ich mir gern unnötige arbeit damit ich mehr zeit für die wirklich wichtigen probleme hab - asa zb. </sarkasmus> :D Danke jungs trotzdem für die lösungsansätze !!!! & schönes WE mfg Oliver

Hmmm .. naja.. nat auf dem 3560 .. ich glaub das tuh ich mir und "ihm" nicht an :rolleyes: aber trotzdem danke ! ja das ewige drama mit den wan ips .. wenns nur das eine netz wäre .. sind ja eh nur 4 x /27 und 1 x /24 .. wollte hald sparsam damit umgehen - werd somit eines opfern bzw. vl bekomm ich ja noch ein kleines dazu (mal provider fragen :cool: ) :) Danke & frohe Ostern

Also ums aufzuklären (mea culpa - vl hab ich mich etwas kryptisch ausgedrückt): Wenn Client im DMZ ist (VLAN 200 mit dem Subif als GW) auf die ASA -> VPN OK ! Wenn Client von Internet kommt (INET -> WARP (10.10.2.0/24) -> ASA -> Subif ) dann ... nada ! @ blackbox - sowas hab ich mir schon gedacht .. die frage stellt sich nur ..was gibts für eine alternative .. ich will meine WAN Netze eigentlich in einem DMZ nutzen .. aber auch VPN machen können. Wie würdet ihr das lösen ?

Jup - hab extra nochmal alle crypto maps rausgeschmissen und neu gemacht .. leider nicht wirklich eine Besserung in Sicht. Was mir noch aufgefallen ist .. wenn ich einen Ping auf dem Interface (von aussen) mache dann hab ich zwar ein Build Connection aber auch gleich wieder ein Teardown .. da kommen einfach keine Pakete an.... die frage is nur WARUM .. :suspect: – Ich glaub das problem hat sich erübrigt .. -> Vpn Terminating On Sub-interface :(:(:(:( Wobei sich immer noch die Frage stellt ..warums dann trotzdem funktioniert wenn ichs vom DMZ aus aufbaue .. genug für heute. Danke mal für eure Hilfe bis jetzt .. die Denkanstösse waren schon super ! mfg Oliver

Also ich hab jetzt mal eine Trace von einem host im internet .. zum eth0/0 gemacht .. paket bleibt wegen ACL fehler dort bei der default-deny regel stehen (und diese ist nicht löschbar) - auch wenn ich eine any-any-permit mache ändert das nichts. Es hat für mich den anschein als wüsste er auf dem eth0/0 nicht wohin mit dem paket für seine eigene ip. alle anderen die dann hinter dem eth0/1 liegen sind erreichbar. Kann es vl damit zusammen hängn dass das Interface auf das er hin soll ein subinterface ist ? (Also mit vlan tag) .. somit es eigentlich auf layer 2 nicht erreichbar ist ? (obwohl .. der traffic nur auf der asa selbst seinen weg geht .. *hmm*)

same-security-traffic permit intra-interface ist im globalen kontext aktiv. Glaubst hilfts was auf den 2 interfaces auch zu aktivieren ? Paket Tracer quäl ich jetzt schon 4 tage lang .. bringt nicht wirklich resultate. (er meint eine ACL wäre der grund - wenn ich sie rauslösche ändert sich trotzdem nichts .. ) Hab grad den PC(apture)W angeworfen und schau mir die pakete im whireshark an .. update folgt. UPDATE: Also .. pakete kommen richtig auf der ASA (Source, destination, ...) an .. allerdings scheint es sie nicht wirklich zu kümmern..

Hey .. ich bin über ALLE Ideen dankbar .. :cool: same-security-traffic permit intra-interface ist aktiv ..

Die lokale Bezeichnung spielt keine Rolle .. einzig allein das richtige protokoll machts aus. Meine Erfahrung zeigt das ein "Protocolless" EtherChannel (bei homogener Cisco Infra) besser funktioniert als LACP (PAgP bei Cisco) -> mode on beim channel command auf dem interface statt active (lacp) Wenn du es kannst (Wartungsfenster ?) mach danach einen shut der physikalischen interfaces - warte ein paar sekunden und dann wieder up damit. Dann sollte sich auch der EtherChannel wieder auskennen. *Otaku19 zustimm* ;) Da fällt mir aber noch Spanning-Tree ein (grund warum ein port down ist) ? check das mal .. -> sh spanning-tree vlan xxx

Hoi Jungs! Habe da ein etwas verzwicktes Problem mit einer Cisco ASA - bzw. ich kapiers nicht ganz - die ASA kann eh nichts dafür :rolleyes: . Und zwar .. ich hab eine etwas komplizierte WAN Infrastruktur .. daher hierzu ein kleine skizze: Erklärung: Ich hab einen Cisco 3560 Switch der über einen (nonswitchport) ein /27 WAN Netz geroutet bekommt (via einem vermittlungsnetz). Von diesem Switch aus geht es wieder weiter (über ein VLAN weil jede menge andere infra dazwischen ist) via STATIC ROUTE zur ASA (dafür wieder ein vermittlungsnetz 10.10.2.0). Die ASA hat dann auf einem anderen (virtuellen) Interface (VLAN 200) die erste nutzbare IP des gerouteten Subnetztes. Somit .. kann man von einem Routing in ein DMZ sprechen .. alle weiteren IPs hinter der ASA im VLAN 200 sind somit über die ASA nutzbar und mit ACLs für einzelne Services versehen - soweit auch kein Problem. Allerdings .. mein Problem nun: Ich will auf dem Eth0/1.200 Interface IPSEC Remote und Site2Site Tunnel terminieren lassen (Tunnel Endpunkt). Das ist aber allerdings ein Ding der Unmöglichkeit weil ich es irgednwie nicht schaffe dort ein Paket hinzubekommen - alle Ips dahinter (in der DMZ) kann ich problemlos erreichen - nur die eigene der ASA nicht (von der DMZ zur ASA gehts allerdings). Es steht auch dazu NICHTS im Logg. ACLs hab ich dazu auch runtergeschraubt das man eigentlich "fast alles" darf. Ausserdem müsste ich dann ein DENY sehen .. :suspect: Hat jemand eine Idee dazu ? :confused: PS: Komplette Config (weil sehr sehr lang und mächtig) will ich euch jetzt nicht zuposten .. es geht mir viel mehr ums grundverständnis und um einen event. denkfehler .. aber wenns hilft tus ichs trotzdem gern. DANKE & mfg Cyver

Der Weg ist mir schon klar .. 5.5 -> 2003 + 2007 (Koexistenz) dazu -> Postfächer / OAB / etc verschieben -> 2003 entfernen. Hoff ich jetzt zumindest mal ... ;)

Hätte ja nicht mal was dagegen .. nur mein Chef = IT-Leiter leider "noch" :) (ich arbeite dran ....) Allein schon Exchange 2007 wäre supa - wird aber leider nur 2003 (*freufreu auf die Migration von 5.5) :suspect: Mfg Oliver

Danke Jungs ! Werde mir noch BestPractice von ESX & Windows 64/32 bit anschauen aber ich glaub dann bleib ich bei 32 bit. Die GPMC ist schon täglich Werkzeug und nicht immer hab ich einen PC mit Admins Tools vor mir. Sprachversion wird englisch - allllles .. ausser die Terminalserver für die "armen" User. Nochmals danke & schönen (hoffentlich ruhigen) Arbeitstag. mfg Oliver

Hoi @ all ! Ich hätte da eine grundlegende Frage: Macht es irgendeinen Unterschied bzw. hat es irgendwelche Auswirkungen wenn ich für neue DCs eine englische 64 Bit Version (W2k3Std) einsetze oder sollte man doch eher noch bei 32 bit bleiben ? (Background: Ganz neues AD mit NT4 bidirektionalem Trust) Und .. bei DFS: Brauche ich nur beim Fileserver eine w2k3ent oder müssen die DCs auch Enterprise sein wenn ich merhere Namenstämme verwalten will ? Danke & mfg Oliver

Hi - danke für die Antwort ! TOOL -> HD Tacho von Simpli Software ( ~ 60 MB/S unter W2k3STD) -> DD /dev/zero auf image file und Peformance Monitor am FC-Switch (~ 71 MB/S unter ESX 3.0.1) BLOCKSIZE - Volume Blocks Größe 16 KB am Filer - Windows Standart Settings SCHREIB / LESEVERH. Im Moment bei 50 / 50, auch schon mit 70/30 getestet. Kein Unterschied. Also was is noch drin und vorallem wo kann ich ansetzen ? DANKE & mfg Oliver

Hi @ all ! Ich hab folgendes Problem .. eigentlich is es auch keines, nur hald kein zufriedenstellender Zustand ;) Hab einen HP DL380 G4 mit Qlogic HBA und MSA 1500cs via FC an SAN angebunden. Allerdings schaffe ich nur 56 - 60 MB/s zu lesen (sequ.) und das erscheint mit bei einem RAID 5 mit 4 x 300 GB 10k zu wenig. Es gibt beim QLOGIC Setup eine Option ob man den STOR-Driver oder SCSI-Driver verwenden soll - welcher wäre der Richtige ? bzw. kenn jemand Optimierungspotenzial in dem Zusammenhang ? Danke & sonnige Grüße aus AT Oliver

Da bin ich richtig froh das ich mich nicht zu den Anfänger zähle .. egal ob kompliziert oder nicht, Performance und Erkennungsrate muss stimmen. Danke für den Link .. mfg Oliver

Hi @ all ! Ein neues Jahr beginnt und somit beginnt auf die Überlegung ob meine eingesetze Antivirus Lösung gut genug ist um es mit den Gefahren des kommenden IT-Jahres aufnehmen zu können. Anforderungen: - Installation als Corporate Lösung (Zentraler AV-Signatur Server, Verteilung an Clients) - Installation der Clients via MSI (unattended) - Ca. 250 Clients und 12 Server - Scan Engine / Protect für Windows und event. Linux - Scan Engine für Outlook (SMTP/POP3) der Clients Extern - Exchange etc. nicht notwendig weil AV-Engine davor - Administration via MMC oder vglb. Vorschläge: - Symantec Antivirus Corporate (bis jetzt eingesetzt - unzufrieden) - Forefront von Microsoft - G-Data AV - Kaspersky - NOD32 AV Bitte um eure Erfahrungen / Anregungen / Gedanken .. Danke & mfg Oliver

Danke trotzdem für die Antworten ! Da stimm ich voll und ganz zu - der WILLE ZÄHLT! DANKE TROTZDEM ! mfg Oliver

Hi @ all! Ich habe folgendes Problem, alle PCs im LAN machen DNS Lookups auf den falschen DNS Server bzw. nehmen einen falschen obwohl mit DHCP zugewiesen. Ich habe alle Einstellunge gecheckt in: DHCP (richtig eingetragen und zugewiesen -> ipconfig stimmt) DNS (Repl. im AD OK, Primärer Server der richtige) GPOs (Neuen Container ohne Vererbung angelegt und GPO mit Nulleinstellung aktiv, User angelegt -> gleicher Effekt) WINS (Wins Lookup temporär deaktiviert -> kein Erfolg) Problematik: Im LAN ist es kein Prob das der Server als DNS verwendet wird, allerdings für UMTS Karten / Home User ohne VPN funktioniert somit kein DNS Lookup. Es ist den Clients egal ob man DNS Server fix im Interface definiert oder via DHCP zuweisst, es wird trotzdem der im LAN genommen. Frage daher: Wie können noch DNS Einstellungen zugewiesen werden ? Bzw. woher Windows sich diese wenn nicht via DHCP, STATISCH oder GPOs ??? Ich suche jetzt schon 2 Tage an der Ursache ...aber mir fällt einfach nichts mehr ein dazu ... :confused: :( :( :( Danke & mfg Oliver (Cyver) UPDATE: Waren doch die GPOs, nur darf ich mich da bei meinem Vorgänger bedanken der in Kennwort Settings auch ein paar DNS Einstellungen versteckt hat *grml*.

Hi @ all ! Ich habe letzte Woche unseren SQl 2000 Std. Server auf SQL 2005 Enterprise migriert. Die Migration der Datenbanken war soweit kein Problem, auch der Zugriff via ODBC dank Mode "80" auch nicht. Nur gibt es ein paar starr geschriebene Programme (VisulaBasic 6.0) die über ADO auf den SQL Server direkt zugreifen. Gibt es eine Möglichkeit die SQL Client Librarys native nur auf SQL 2005 upzugraden und somit das VB Prog damit zu zwingen sie zu verwenden ? Oder kann ich irgendwie eine SQL Instanz als Proxy für SQL 2005 verwenden ? Wenn ja, wie geht das ? Danke & mfG

Hi @ all! Ich komme einfach nicht weiter, wie installieren ich ein ganz "normales" XP Embedded SP1 auf eine Festplatte ? Ich wills nicht in eine RAM Disk booten oder auf einen Flash Speicher schreiben, einfach auf eine kleine Notebook Harddisk. Habe mit dem Target Designer ein "Image" der XPe Installation erstellt, wie gehts jetzt weiter ? sdi2hd.exe ? bootprep.exe ? Danke & mfG Cyver

Kann man XPe irgendwie ins RIS integrieren, bzw. ich brauch ja nur die erstellte Installation auf die Disk schreiben und MBR anpassen. Das muss doch irgendwie funken. Die Frage ist nur WIE ?????ß mfg Cyver

Würd mich auch interessieren, denn über PXE/TFTP schaff ichs einfach net. Einfach ne CD brennen und von mir aus das Image dann auf die Platte schreiben wäre einfacher. Oder kennt jemand ein schönes DEUTSCHES Howto dazu ? (Das Original von M$ hab ich schon zig mal durch und finde den fehler nicht) Danke & mfg Cyver

Das hab ich nicht behauptet, es geht nur darum Zusammenhänge zu erkennen und zu verstehen, sich zuerst Grundlagen und Strukturen anzueigenen und dann erst loszulegen. Du kannst die Verbindungen zu den Netzdruckern mit Kernel Befehlen einfach jedesmal beim Login mit einem Logon Script herstellen aber wenn alles richtig geconft ist müssten die Druckerverbindungen erhalten bleiben. mfg Cyver

Manchmal denk ich mir schon was man für Admins auf Netzwerke los lässt ..