MikeS

Hallo habe folgende Lizenz auf meiner ASA:

Licensed features for this platform:

Maximum Physical Interfaces : 8

VLANs : 3, DMZ Restricted

Inside Hosts : 10

Failover : Disabled

VPN-DES : Enabled

VPN-3DES-AES : Enabled

VPN Peers : 10

WebVPN Peers : 2

Dual ISPs : Disabled

VLAN Trunk Ports : 0

Jetzt möchte ich beispielsweise auf einen Webserver in der DMZ von einem Client im internen Netz zugreifen. Im ASDM ist jedoch unter Interfaces "Block Traffic from this interface to: VLAN1 inside" standardmässig aktiviert, und ich kann es auch nicht deaktivieren, dann beschwert er sich über die Lizenz. Habe schon verschiedenste NAT Regeln probiert, hat jedoch alles nichts gebracht...

Habe nur das gefühl dass es wegen diesem "Block Traffic..." nicht gehen kann!

liege ich da richtig!?

Ich habs jetzt so

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

static (inside,outside) tcp interface ftp Exchange ftp netmask 255.255.255.255

static (inside,outside) tcp interface ftp-data Exchange ftp-data netmask 255.255.255.255

static (inside,outside) tcp interface 3389 Exchange 3389 netmask 255.255.255.255

static (inside,outside) udp interface 4672 192.168.6.212 4672 netmask 255.255.255.255

static (inside,outside) tcp interface 4662 NotebookLAN 4662 netmask 255.255.255.255

static (inside,outside) tcp interface 4661 NotebookLAN 4661 netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

Super, danke für den Tip, jetzt bin ich zufrieden :-D

Edit:

Jetzt habe ich die Regel so:

access-list outside_access_in extended permit tcp any interface outside eq smtp

in kombination mit dieser statischen NAT Regel:

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

Ich wüsste jetzt so spontan nicht, was ich an UDP Forwarden sollte:-?

Result of the command: "sho logg"

Syslog logging: enabled

Facility: 20

Timestamp logging: disabled

Standby logging: disabled

Deny Conn when Queue Full: disabled

Console logging: disabled

Monitor logging: disabled

Buffer logging: disabled

Trap logging: disabled

History logging: disabled

Device ID: disabled

Mail logging: disabled

ASDM logging: level informational, 21257 messages logged

Wenn ne mail reinkommen sollte, bekomme ich diese fehlermeldung:

4 Jun 17 2007 13:21:00 106023 62.140.23.33 87.79.XXX.XXX Deny tcp src outside:62.140.23.33/44448 dst inside:87.79.XXX.XXX/25 by access-group "outside_access_in" [0x0, 0x0]

Edit:

So jetzt bringe ich das Teil wohl langsam unter kontroller :-D

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 any eq www

access-list inside_access_in extended permit udp 192.168.16.0 255.255.255.0 any eq domain

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 any eq https

access-list outside_access_in extended permit tcp any any eq smtp

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

Jetzt geht es, das einzige was mir überhaupt nicht gefällt ist die böse "any, any" regel für Outside inside, habe mich jetzt erstmal auf den Mailversand beschränkt! Sobald ich jedoch die Outside_access_in Regel ein wenig verändere geht nichts mehr mit meinen Mails! Hat vielleich jemand ein Beispiel wie es sein müsste!?

vielen dank schonmal im vorraus

Gruß MikeS

Ok, habe das mal geändert, leuchtet mir auch! :-)

so ist es jetzt:

access-list outside_access_in extended permit tcp any host Exchange eq ftp

access-list outside_access_in extended permit tcp any host Exchange eq ftp-data

access-list outside_access_in extended permit tcp any host Exchange eq smtp

leider geht immernoch nichts rein....

Hallo, habe folgendes Problem, habe mir eine ASA 5505 geleistet und wollte mich ein wenig in die Firewall einarbeiten, bekomme aber keine Portweiterleitung hin, wenn ich aus dem ASDM den Packet Tracer mir anschaue bleibt das Packet bei NAT Lookup immer auf der Strecke...

Hier ist mal meine Config, wäre super wenn jemand ne Idee hätte :-)

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 eq www any eq www

access-list inside_access_in extended permit ip 192.168.16.0 255.255.255.0 any

access-list inside_access_in extended permit udp 192.168.16.0 255.255.255.0 eq domain any eq domain

access-list outside_access_in extended permit tcp any eq ftp host Exchange eq ftp

access-list outside_access_in extended permit tcp any eq ftp-data host Exchange eq ftp-data

access-list outside_access_in extended permit tcp any eq smtp host Exchange eq smtp

access-list outside_access_in extended permit ip any 192.168.16.0 255.255.255.0

icmp unreachable rate-limit 1 burst-size 1

icmp deny any outside

asdm image disk0:/asdm-522.bin

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) tcp interface ftp Exchange ftp netmask 255.255.255.255

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

static (inside,outside) tcp interface ftp-data Exchange ftp-data netmask 255.255.255.255

static (inside,outside) tcp interface www Exchange www netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

timeout xlate 3:00:00

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

inspect icmp

inspect ftp strict

!

service-policy global_policy global

prompt hostname context

: end

nochmal nach oben

Hallo, ich habe ein Problem mit Servergespeicherten benutzerprofilen und Ordnerumleitung auf meinem Windows 2003 Terminalserver.

Wenn ich mich auf einer lokalen Maschine anmelde, dann funktioniert alles einwandfrei, ich habe mein Benutzerprofil, und meine Eigenen Dateien und mein Desktop sind auf den server umgeleitet.

Wenn ich mich jedoch über den Terminalserver via Remotedesktop einlogge, dann sieht es im ersten moment auch ok aus, jedoch nachdem "Benutzereinstellungen werden geladen kommt, passiert nichts mehr, ich sehe nur den blauen hinterngrund, und mehr nicht!

Jetzt habe ich es mal ausprobiert, und habe nur die ordner umgelegt, dann funktioniert es auch auf dem Terminalserver, wenn ich nur ein Servergespeichertes Profil habe, dann funktioniert es auch einwandfrei, nur beides zusammen geht nicht!

Dazu habe ich mal im AD ausprobiert unter Terminaldienstprofil den Pfad von dem Benutzerprofil mit anzugeben, jedoch brachte das auch keinen erfolg, und dann habe ich auch noch den Lokalen Pfad und Profil sowie auch unter Terminaldienstprofil angegeben! ....jedoch auch kein Erfolg!

Habe ich vielleicht etwas übersehen? ...oder geht es evtl. nicht?

wäre für jede Antwort dankbar!

mfg MikeS

Habe den SMTP Server nochmal neu installiert!

....leider ohne erfolg! :(

hat vielleicht noch jemand eine Idee?

gruß Mike

OK, werde morgen davon berichten, habe leider meine CD Tasche auf der Arbeit vergessen, und wie ich die Tage gemerkt habe, mag der Windows 2003 Standard, nur Windows 2003 Standard CDs :-)

Aber werde morgen mal den SMTP neu installieren! Hoffentlich bringt es was!

Gruß Mike

Habe es mit Telnet und der IP durchgeführt! ...aber es läuft nicht!

Ich bin langsam auch total Ratlos! Bin schon am Überlegen, ob ich ihn am Wochenende neu installiere! ...wobei ich darauf eigentlich keine Lust, und noch weniger Zeit habe!

Gruß Mike

nein, dann ist stille!

Beim Anhalten des SMTP Dienstes:

Der SMTP-Dienst wurde angehalten.

Der SMTP-Dienst wurde gestartet; Warteschlangen werden initialisiert.

Instanz 1 des SMTP-Dienstes wurde gestartet.

Das Sagt Netstat:

Netstat -an | find ":25"

TCP 0.0.0.0:25 0.0.0.0:0 ABHÖREN

Habe nur eine Karte im Server (habe jetzt extra nochmal nachgeschaut) :-)

Hast du eine Idee?

Nein, leider nicht, alles ganz clean! Das ist dass, was ich nicht verstehe!

Habe bei mir auf der Arbeit 2 Server genauso installiert, laufen alle einwandfrei, bis auf mein Testserver zu hause, da geht der SMTP nicht

Eigentlich ist es der einzige Exchange Server, und er läuft auf dem selben Server, der ein Domänencontroller ist :-)

Hi, ich habe folgendes problem, ich habe einen Windows 2003 Domänen Controller auf dem Exchange 2003 installiert ist! Es ist eine komplette Standardinstallation, aber leider kann ich mich nicht auf port 25 zu ihm connecten! ...es kommt immer die Fehlermeldung: Es konnte keine Verbindung mit dem Host hergestellt werde....

Der virtuelle Standardserver sowie der SMTP Server in den Diensten sind beide gestartet!

wäre super, wenn jemand eine antwort kennen würde!

mfg

MikeS

...aber Port TCP 25 ist nach Port 25 geforwarded!

Aber normalerweise dürfte das ja auch nichts ausmachen, denn ich versuche mich ja lokal auf den smtp Server zu verbinden.

Gruß

MikeS

ich hatte leider in der letzten zeit keine zeit mich weiter um dieses problem weiter zu kümmern!

...habe mich letztes mal auch ein wenig dumm ausgedrückt!

SMTP Server ist unter Dienste gestartet, und auch unter Protokolle ist virtueller SMTP Server gestartet, und habe ihn sogar nochmal neu angelegt!

Ich bekomme jedoch jedesmal wenn ich mich via Telnet auf port 25 connection möchte:

Es konnte keine Verbindung zum Host hergestellt werden auf Port 25

Hat jemand ne Idee woran das noch liegen kann?

du hast recht, der SMTP Server scheint nicht zu laufen! ...bin leider auch kein Exchange fachmann, wie aktiviere ich ihn?

gruß

MikeS

Hallo, ich habe ein Problem mit Pullmail und Exchange 2003

Wenn ich pullmail pop.gmx.net EmailAdresse@gmx.net Kennwort /le /lw /li /t:90 /to:mikes@server2003.local

ich habe es jetzt schon mit den verschiedensten endungen versucht, aber bekomme immer die Fehlermeldung:

unable to connect to SMTP Server

weiss jemand woran es liegen kann?

Wäre für jede hilfe dankbar!

mfg

MikeS

Hatte jetzt keine Lust mehr zu suchen, habe den User gelöscht, und komplett neu angelegt! ...und siehe da, jetzt geht es! ...obwohl ich ihn genauso angelegt habe, wie vorher!

Naja, hauptsache es geht jetzt! ;-)

Gruß MikeS

Ich habe es nochmal überprüft, und habe mit rsop herausgefunden, dass nur die Gruppenrichtlinie Sicherheitsseite deaktivieren auf Deaktiviert ist! Daran dürfte es trotzdem nicht liegen!

Die genaue meldung die ich immer bekomme ist:

Die für diese Zone empfohlene Sicherheiststufe ist "Hoch".

Die gewählte Stufe ist niedriger als diese. Wählen Sie die Sicherheitsstufe "Hoch" oder eine höhere!

Hallo, habe folgendes Problem, unzwar wenn ich ein Lokal gespeichertes Benutzerprofil in ein Servergespeichertes umwandel, dann kann ich auf dem Lokalen Rechner merkwürdigerweise nicht mehr die Internet Explorer Sicherheitseinstellungen verändern, obwohl der User Domänen Admin Rechte hat! Habe keine Gruppenrichtlinien oder so gesetzt! Wenn ich mich mit dem Benutzer auf dem Terminalserver (welcher auch der Domänen Controller ist) einlogge, kann ich diese einstellungen auch verändern!

Hat jemand ne Lösung? Wäre für hilfe echt dankbar!

mfg MikeS

Hi, David 5.5 ist ja eigentlich auch nicht für Windows 2003 freigegeben! Ich habe letzte Woche noch mit einer Netten Frau bei Tobit telefoniert, sie meinte zu mir, dass sie mir keine Garantie darauf geben könnte, wie weit es kompatibel zu Windows 2003 Server ist! ...und weil ich zu faul war es auszuprobieren, habe ich mir direkt ein update besorgt :-)

Gruß

MikeS

Das ist ja schonmal ein Anfang :-)

Hast du das schonmal probiert? Das Problem ist jedoch, dass ich das bei jedem Client erstmal einstellen muss! oder?

gruß Mike