jvogler

Schau doch mal ob Du bei Gangl fündig wirst. Die Tools sind dann aber kostenpflichtig. Gruß Jochen

Schon klar dass man das nicht vergleichen kann aber Du musst zugeben dass man das IOS auch etwas bedienerfreundlicher hätte gestalten können. :wink2: Aber ich will nicht weiter motzen, meine Verbindung steht wieder und mehr will ich ja gar nicht. :D

So, jetzt läuft alles. Mangementzugriff lag an einer ACL die das SDM bei der Erstkonfig gesetzt hat. Seit gestern Abend komme ich auch wieder per Telnet und SSH auf die Kiste, nur per SDM (hhtps) habe ich noch keinen Zugriff, aber erst mal egal... Nun hatte dann die PPPoE-Einwahl nicht geklappt, dachte Zugangsdatenändern und schon gehts aber dem war wohl nicht so. Zum Testen hatte ich dann mal eine Sonicwall TZ180 rangehängt, die hat sofort aufgebaut. Heute Vormittag dann hatte ich Kontakt zum Provider und konnte mit diesem die Verbindung herstellen. Wir haben zwar von PAP auch CHAP gewechselt aber der eigentliche Fehler dürfte an der verschlüsselten Übertragung des Kennwortes gelegen haben. Kleine Ursache, große Wirkung. Trotzdem bin ich recht frustrierend wie kompliziert der Umgang mit Cisco Komponenten ist. Wenn ich da an unsere Extreme Switche denke, da sehe ich wie´s auch einfacher/eleganter geht.

Hallo! Ich sitze jetzt seit 3 Stunden da und versuche auf einen anderen DSL-Provider umzuziehen, leider scheitere ich jedesmal daran dass ich nach Änderung der IP auf VLAN1 den Router nicht mehr managen kann. Hintergrund: Vom DSL-Provider geroutetes IP-Subnet, Einwahl über PPPoE Interface Dialer1 (PPPoE) Interface VLAN1 mit den gerouteten IPs Mangement über VLAN1 (geroutete IP) Nun habe ich vorbereitend die bestehenden Firewallregeln um passende für die neuen IPs ergänzt. Wenn ich jetzt hergehe und die IP von VLAN1 abändere kann ich den Router zwar noch pingen aber ich komme weder per Telnet noch mit SSH oder https auf die Kiste. Kann mir irgendjemand weiterhelfen, bin völlig ratlos was ich noch machen soll... Gruß Jochen

@basstscho Der Betrieb einer Dockingstation bereitet Win7 defintiv keine Probleme. In Sachen Monitor gibt sich hier auch noch die Möglichkeit den Externen als Zweitmonitor in Dualmonitorkonfig zu verwenden.

Zum Thema Batchdatei sag ich nur: Lehrer müssen das jeden Tag bedienen... ;)

NetOpSchool kenne ich, sehr gutes Produkt. Leider auch sehr teuer... Bin aber für alle Hinweise offen, für die eine oder andere Software gibt´s ja auch spezielle Schulkonditionen.

Naja, nachdem es heutzutage selbstverständlich ist im Unterricht Webrecherchen durzuführen, bringt Dein Lösungsvorschlag reichlich wenig... Kleine Ergänzung: selbstverständlich sind die möglichen Protokolle bereits auf HTTP + HTTPS begrenzt, außerdem wird eine Blacklist mit Youtube und dem ganzen anderen "Schmarrn" geführt.

In unserer Hauptschule haben wir das Problem dass die Schüler die Einschränkungen des Proxyservers (ISA 2004/2006) vermehrt durch Anonymizer Websites umgehen. Diese alle in der manuell gepflegten Sperrliste zu erfassen scheitert alleine schon an der Masse solcher Seiten. Wir sind nun auf der Suche nach einer möglichst kostengünstigen Lösung - klar, ne Schule hat nie genug Geld für IT - für das Filtering von Anonymizern am Gateway/Proxy ISA Server 2004/2006. Ich hoffe mir kann jemand helfen damit der Fachlehrer wieder ruhig schlafen kann. :D Gruß Jochen

Hallo! Nach erfolgreicher Einwahl bekomme ich keine Internetverbindung mehr. Hintergrund: Ich arbeite im LAN per Laptop. Dieser ist vollwertiges Domänenmitglied mit allem Drum und Drann. Der IE und Firefox erhalten Ihre Verbindung über unseren ISA 2k4 per Proxyeintrag bzw. MS Proxyclient. Nun befinde ich mich mit diesem Laptop am heimischen DSL und habe mich per IPSEC VPN (Windowsclient) auf den ISA Server eingehält. Ich erhalte eine IP aus dem LAN meines Arbeitgebers per internem DHCP. Der VPN-Client leitet alle Gatewayanfragen auf das LAN, Userabhängig sind hier alle Protokolle des ISA offen. Am ISA wurde bei den Regeln die HTTP nach Extern erlauben zusätzlich das "VPN" Netzwerk hinzugefügt. Problem: Nach der Einwahl stehen, genauwie auch beim Beitrieb am internen Kabelnetzwerk, sämtliche Dienste des LANs zur verfügung: Serverfreigabenk, Outlook/Exchange, Citrix, usw., auch interne Webserver. Alle aus Sicht des Firmen LANs Externe Adressen, Webites wie auch ICQ u.a., sind nicht erreichbar. An welchem Knöpfchen muss ich drehen? Der Laptop bekommt nach VPN-Einwahl eine IP aus dem internen LAN, also müsste doch die Wege und damit auch die Regeln die gleichen sein wie beim Betrieb an der Dockingstation im Büro?! :confused: Hoffe mir kann jemand den richtigen Schubser geben! Gruß Jochen

Sry, mit "NM-Trace" kann ich jetzt leider nichts anfangen... :cool: Aufgefallen ist das Verhalten nachdem ich eine interne Sharepoint Teamseite eingerichtet habe und bei einigen Clients das Loginfenster kam. Nach längerer Sucherei stellte sich heraus dass dieses nur bei Rechnern mit installiertem FW-Client auftritt. Ich kann das soweit eingrenzen in dem ich mein lokales IP-Subnet als Proxyausnahme definiere, Login bei der SP Seite funktioniert über die integrierte Windows-Auth., und anschl. über den FW-Client die automatische Webbrowserkonfiguration manuell anstoße. Das eingetragene Subnet ist wieder verschwunden und auch die Auth. am Sharepoint TS funtkioniert nur noch über das gesonderte Login-Fenster.

Wir setzen auf manchen Clients den FW Client unseres ISA 2k4 ein. Genau bei diesen Clients haben wir das Problem dass der FW Client die im IE (Version 7) eingetragenen Proxyausnahmen (das interne Subnetz) automatisch entfernt. Zusätzlich zu einer GPO sind diese zwar in den FW-Clienteinstellungen über die ISA-Verwaltung auf das interne Netz gesetzt, werden vom Client aber völlig ignoriert. Der Proxy (=ISA) wird in den Verbindungseinstellungen des IE korrekt gesetzt, aber es fehlen eben die Ausnahmen auf das lokale Netz. Dadurch entstehen Probleme bei internen Websites an denen sich der User über die integrierte Authentifizierung des IE anmelden muss. Hoffe mir kann jemand weiterhelfen! Gruß Jochen

Und nachdem ich an der SonicWall noch etwas mit den Häckchen rumgespielt habe ist mein Tunnel doch glatt zustande gekommen. :) Die Meldung aus meinem vorigen Post erhalte ich aber immer noch.

Nachdem ich ein "ä" aus meinem Shared Secret entfernt habe kommt er immerhin schon bis zur Phase 2: 07/26/2007 16:13:59.288 Received notify: INVALID_ID_INFO 213.214.19.227 (admin) 217.7.242.26, pd907f21a.dip0.t-ipconnect.de 4 07/26/2007 16:13:59.112 IKE Initiator: Start Quick Mode (Phase 2). 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500

Langsam bin ich absolut am Ende mit meinem Latein, nach einigen erfolglosen Versuchen mit Client VPN (IPSEC) auf den ISA 2004 funktioniert auch Standort-VPN mit einer SonicWall nicht. Folgendes Szenario: - Remote LAN (1 Client) SonicWall TZ 150 am T-DSL Business mit fester IP - Zentrale ISA 2004 (SP3) auf W2k3 SP2 mit mehreren festen IPs hinter einem Cisco 1812 (Route) am ADSL unseres Serviceproviders Ich bin nach der Anleitung von Dieter Rauscher vorgegangen, leider ohne erfolgreichen Aufbau des Tunnels. Nachdem ich Fehlermeldungen hinsichtlich eines NAT-T Gerätes hatte, habe ich auf der SonicWall unter VPN-Advanced "NAT Traversal" deaktiviert. Übrig sind folgende Logeinträge: 07/26/2007 15:55:20.096 IKE Initiator: Start Main Mode negotiation (Phase 1) 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500 2 07/26/2007 15:54:57.160 IKE negotiation aborted due to timeout 217.7.242.26, pd907f21a.dip0.t-ipconnect.de 213.214.19.227 3 07/26/2007 15:54:23.896 Web management request allowed 213.214.19.227, 3025, WAN (admin) 172.20.150.1, 443, LAN TCP HTTPS 4 07/26/2007 15:54:22.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500 5 07/26/2007 15:54:18.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500 6 07/26/2007 15:54:05.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500 7 07/26/2007 15:54:02.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500 8 07/26/2007 15:53:55.160 IKE Initiator: No response - remote party timeout 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500 9 07/26/2007 15:53:54.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500 10 07/26/2007 15:53:50.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500 11 07/26/2007 15:53:48.112 Received packet retransmission. Drop duplicate packet 213.214.19.227, 500 (admin) 213.214.19.227, 500 12 07/26/2007 15:53:46.880 IKE Initiator: Start Main Mode negotiation (Phase 1) 217.7.242.26, 500, pd907f21a.dip0.t-ipconnect.de 213.214.19.227, 500 In der Cisco Firewall sind alle notwendigen Protokolle in BEIDE Richtungen frei, woher kommen dann die Probleme mit 500 UDP?!? Bin fürchterlich ratlos und hoffe dass jemand findet der mir den fehlenden Hinweis gibt. Grüße Jochen