ascaris

Hallo, ich habe das folgende Problem: Ich habe eine Cisco PIX 506 mit dem internen IP-Netz 172.16.200.0/24 und der IP 172.16.200.1 auf dem internen Interface. An der Pix hängen über Internet ein paar SITE-TO-SITE VPN-Anbindungen. Nun greifen alle Remote-Sites an der PIX auf einen Server im 172.16.200.0/24 Netz zu und das klappt alles ganz hervorragend. Nun muss ich eine neue Remote-SITE anbinden, die aber selbst das 172.16.0.0/16 Netz intern verwenden. Also mich ich irgendwie ausweichen. Meine Idee war nun, dem betreffenden Server (W2K3-Server) eine zusätzliche IP z.B. 10.230.200.100 zu geben. Aber wie bringe ich der PIX 506 bei, dass sie a) Dieses neue IP-Netz erkennt und routet ? Eine zweite IP kann ich dem inside Interface ja nicht gegen. Mach ich da einfach ein route inside 10.230.200.0 255.255.255.0 172.16.100.1 ? ?? b) dieses neue IP-Netz auch durch die VPN-Tunnel routet. Muss ich da einfach nur in den IPSec Rules eine Crypto policy mit den entsprechenden IP-Netzen eintragen und alles klappt ? Das Problem ist, dass ich die Pix nicht physikalisch im Zugriff habe und wenn ich mich aussperre erstmal ne Stunde Autofahrt vor mir habe um sie zu resetten. Daher scheue ich mich vor experimenten. Bin für jede Hilfe dankbar. Dirk

Wir setzen den POPCon Pro (Christensen Software - Exchange POP3 Connectivity) ein und dieser funktioniert soweit auch sehr zufriedenstellend. Bis auf dieses seltsame Problem funktioniert der in der rest der zeit korrekt. Ich habe mich inzwischen etwas weiter umgesehen und habe da eine Vermutung.. vielleicht kann einer von euch die bestätigen oder kennt sowas. Kann es sein, dass der Exchange Server - warum auch immer - plötzlich die Email-Adressen der eingehenden Mails nicht mehr zu den korrekten Benutzern/Benutzerkonten auflösen kann und dann die emails in den betreffenden Ordner legt. Ich habe da sowas von einem Catchall Eventsink gelesen, der auf nicht zustell/zuweisbare Emails reagiert und diese dann an ein bestimmtes Ziel zustellt. Leider habe ich keine Möglichkeit gefunden zu prüfen, ob auf dem Exchange irgendwo ein solcher EventSink installiert ist. Gibt es da wege das zu prüfen ? Wenn ja wie ? Danke nochmal für jede Hilfe Dirk

Hallo Leute, ich habe da ein kleines (grosses) Problem mit einem Exchange 2003 Server. Wir rufen die Emails per POP3 vom Provider ab und der stelt diese dann an den Exchangeserver zu. Das funktioniert im Normalfall auch ganz hervorragend und problemlos. Exchange erkannt anhand der Email-Addresse wohin die email gehört. Zuweilen (ca einmal die Woche) aber passiert es, dass eingehende Emails anstatt in die entsprechenden Postfächer und Öffentlichen Ordner alle in einen Öffentlichen Ordner zugestellt werden. Dann starten wir den gesamten Server neu und alles ist wieder in Ordnung - bis zum nächsten Mal. Es lässt sich aber nicht erkennen warum das passiert.. auch im Eventlog gibt es keine aussagekräftigen Hinweise. Hat jemand eine Idee wieso sowas passiert und wieso die emails immer in den einen Öffentlichen Ordner zugestellt werden. Postmaster ist der Administrator und nicht der ÖO. Bin für jeden Tipp dankbar. Danke Dirk

Also bei EventID habe ich schon nachgesehen. aber nichts hilfreiches/passendes gefunden. Aber dennoch danke für den Tip. Auch habe ich keine Grafikkarten-Tools oder sonst irgendwelche grossartigen Tools installiert. Das mit dem UPHC werde ich mal ausprobieren. Danke Dirk

Nein, IP-Richtlinien haben wir keine definiert. Die IP-Richtlinien sind standard out-of-the-box konfiguriert.

Umgebung ist wie folgt: Windows 2003 R2 Server Standard Edition RemoteDesktop im Verwaltungsmodus ADS-Domäne (30 User) DNS und WINS installiert und konfiguriert. Class-C IP-Netz, zwei Intel Gigabit Ethernet-Adapter (teamed) 3COM 5500 Series Switch Alles relativ Standard. Das einzig "aussergewöhnliche" ist dass ich von aussen über ein Port-Forwarding mittels SSH-Tunnel auf den RDP zugreife. Aber ich habe dasselbe Problem (seltsamerweise mal und mal nicht) von Workstations im lokalen Netzwerk. Ich suche nun seit Tagen bei Google, Technet, MS Knowledgebase usw aber irgendwie finde ich nichts zu dieser Problematik. Abgesehen von diesem Fall habe ich dasselbe Problem auf einem anderen Server OHNE ADS Domäne mit Windows 2003 SP2. Danke für jede Hilfe. Dirk

Drucker werden da keine verbunden. Weder lokal auf dem Windows-Server und ich nehme auch keiner in meiner RDP-Session mit rüber. Im Eventlog erscheint immer die folgende Fehlermeldung die mit der Zeit meines Anmeldeversuches zu korrespondieren zu scheint: Quelle. MRxSmb Event-ID: 3019 Der Redirectordienst konnte den Verbindungstyp nicht erkennen. Wenn ich eine getrennte Session wiederverbinde komme ich sofort rein. Wenn ich mich aber richtig abmelde und mich dann sofort wieder anmelde, darf ich wieder warten :(

Hallo Leute, ich habe immer wieder ein Problem mit der Anmeldung bei W2K3 RemoteDesktop. Ich connecte ganz normal mit dem Client auf den Server, melde mich an und dann kommt nur der Desktop-Hintergrund und dann dauert es bis zu 5 Minuten, bis ich die Icons und die Explorer-Bar (inkl. Start-Button) erscheinen und ich loslegen kann. Rechtsklick auf den Desktop (==> Kontextmenü) geht auch nicht. Irgendwie scheint es als ob der Explorer erst nach dieser Wartezeit gestartet wird. Seltsamerweise geht es mal sofort und dann muss ich wieder warten. Ich hatte schon die Namensauflösung im Sinne, aber sowohl DNS als auch WINS sind eingerichtet und funktionieren. Im Eventlog finde ich auch keinen brauchbaren Hinweis. Hat jemand eine Idee woran das liegen kann bzw. was ich tun muss um es abzustellen ? Vielen Dank schonmal. Dirk

Ja das ist schon klar, aber wie kriege ich die Pix dazu das zu machen oder gibt es ein vernünfigtes Auswertungs-tool, welches mir bei einer späteren Auswertung des Logfiles den Reverse lookup macht und dass dann in der Auswertung mit dem hostnamen statt ip-adresse darstellt ? Danke

Danke für den Tipp, aber einen DNS habe ich eingetragen. Aber eigentlich sollte die ASA die URL doch auch ohne DNS direkt aus dem Aufruf herausfiltern können, oder nicht. Frage ist halt, wie ich das so einstelle dass er den Hostnamen und nicht die IP loggt. Danke Dirk

Hallo Leute, ich habe hier eine ASA 5510 stehen die mir fleissig und reichlich Logzeilen in den Syslog schreibt. Nun finde ich hier im Log auch die Webzugriffe der Workstations allerdings nur mit IP-Adresse, so z.B. 192.168.2.4 Accessed URL 81.173.245.10:/m01_flash_xml.php. Nun möchte ich das gerne nutzen um eine Statistik der aufgerufenen Webseiten zu erstellen. Ist es möglich, dass hier statt einer IP der echte aufgerufene Hostname (in diesem fall RTL.de) steht ? Was muss ich dafür tun, dass da der Hostname steht ?. Oder geht es vielleicht mit AAA Accounting und einem Radius Server ? Vielen Dank für jeden Tip

Hallöchen, ich habe einen Exchange 2003 Server mit OWA laufen kann aber über das OWA keine neuen Termine anlegen. Emails, Kontakte, Notizen kann ich über das OWA korrekt anlegen. Nur halt keine Termine. Seltsamerweise kann ich Termine in Kalendern im Öffentlichen Ordner Informationsspeicher anlegen und die tauchen dann auch auf. Was kann ich tun.. sollte es ein Rechte Problem auf dem persönlichen Kalender sein ? Aber ich als Besitzer des Kalenders sollte doch alle Rechte haben, oder funktioniert der OWA da anders als auch der Outlook Client. Ich weiss echt nicht mehr weiter. Bin dankbar für jede Hilfe. Dirk

Danke für den Tip, ich habe das Problem inzwischen gelöst. Der Trick war der, dass ich einen Filter einbauen musste, der dafür sorgt, dass der gewünschte Traffic (Souce and Destination) NICHT durch das Tunnel Default Gateway geroutet wird, sondern der Routingtable entsprechend. Danke aber für jegliche Hilfe. Dirk

Hallo liebe Leute, ich habe ein Problem mit einem Cisco VPN-Konzentrator und hoffe hier auf Hilfe. Ich habe zwei Teilnehmer (ein gesamtes Netz mit einem Cisco 836 über DSL) sowie ein einzelplatz via Cisco Software VPN Client an den selben VPN-Konzentrator angebunden. Die VPN-Verbindungen funktionieren und beide (Netz sowie Einzelplatz) können einwandfrei auf Dienste "hinter" (also im Netz des VPN-Konzentrator) dem VPN zugreifen. Nun möchte ich aber vom Einzelplatz auf ein Gerät hinter dem Cisco 836 Router zugreifen, funktioniert aber nicht. Wieso ??? Die Routings müssten stimmen. Beide haben durch das VPN den VPN-Konzentrator als Default-Gateway und der kennt ja jeweils die IP-Route zum anderen. Zugriffs-ACLs die irgendwas blockieren habe ich eigentlich keine Was hab ich vergessen. Wo ist der Denkfehler? Bin für jegliche Hilfe / Tips / ideen dankbar. Danke schonmal Dirk

Aaach soooo.. na da muss man aber auch erstmal drauf kommen.. steht in der Cisco Doku zum Thema Port ACLs nämlich so nicht drin, erst in der VLAN-Maps section steht dann, das das nur mit VLAN Maps geht. Vielen Vielen Dank für die Hilfe.. ich dachte echt schon ich wäre zu doof für ACLs.. naja war ich in diesem Fall ja vielleicht auch ein wenig. Aber nun weiss ich ja wie es geht.. DANKE:D :D :D :D

Danke für den tip, aber OUT kann ich laut Doku nur auf Router-ACLs anwenden und in der tat lässt mich die CLI ausschliesslich IN als direction angeben. Und das mit dem logging klappt leider auch nicht.. im log tauchen nur die config by console (Configured from console by vty0) auf. Aber nix von den ACLs :( :( Danke auf jeden Fall. Vielleicht (hoffentlich) hat ja noch jemand ne idee.

Hallo, bin total verzweifelt und glaub dass ich bald durchdreh, deshalb versuch ich es mal hier. Ich habe einen Cisco Catalyst 3550 mit 48 Ports. Nun möchte ich auf den Ports ACL anlegen, sodass ich hier steuern kann welcher Traffic zu dem Rechner an dem entsprechenden Port möglich ist. So möchte ich dass zu einem Rechner SMTP und POP3 und jegliche UDP von überall aus, SSH aber nur von einem bestimmtem IP-Netz möglich ist. Also habe ich folgende ACL angelegt Switch> access-list 101 permit tcp any any eq 25 Switch> access-list 101 permit tcp any any eq 110 Switch> access-list 101 permit tcp 192.168.2.0 0.0.0.0 any eq 22 Gebunden auf den Port 17 mittels Switch> conf t Switch> int GigabitEthernet0/17 Switch> ip access-group 102 in Wenn ich das mache geht aber gar nix mehr. Ich kriege keinen Port auf dem Rechner an dem Port angesprochen. Auch nicht 25 und 110 obwohl die ja von jedem (any) erreichbar sein sollten, oder ? Aus verzweiflung habe ich dann mal die ACL geändert access-list 101 permit tcp any eq 25 any access-list 101 permit tcp any eq 110 any access-list 101 permit tcp 192.168.2.0 0.0.0.0 any eq 22 Hab also die Ports als Source Port 25 und 110 angelegt, was eigentlich ja bloedsinn sein sollte. Aber siehe da, dann kriege ich zumindest die Ports 25 und 110 erreicht. Wieso ?? Der Zugriff auf den Port 22 funktioniert immer noch nicht. Also habe ich auch die IP-Adressen (source und destination) mal vertauscht. Geht trotzdem nicht. Meine versuche das ACL logging zu aktivieren, damit ich sehe was er wo denied schlugen auch fehl. Kann mir hier bitte irgendwer helfen / sagen wo ich den Denkfehler habe ? Vielen Dank Dirk

Der Router bekommt von der Telekom eine dynamische IP-Adresse. Ich habe hier auch die Zwangstrennung in Verdacht gehabt, aber bei früheren Tests habe ich im VPN-Konzentrator Log gesehen, dass der Router wohl zwischendurch eine neue IP bekommen hat und dann automatisch den Tunnel neu erzeugt hat. Das hat der Konzentrator dann wohl auch mitbekommen und die SA entsprechend neu ausgehandelt.

Hier ist die genaue Version aus sh version C836 Software (C836-K9O3S8Y6-M), Version 12.3(4)T2, RELEASE SOFTWARE (fc1)

Hallo Frank, auf dem Router ist das folgende Image c836-k9o3s8y6-mz.123-4.T2.bin installiert. Müsste also ein 12.3 (4) T2 IOS sein.

Hallo Leute, ich bin total verzweifelt und hoffe hier Hilfe zu finden. Ich habe einen Cisco 836 DSL-Router mit VPN-Client Funktionalität. Der 836 verbindet sich über T-DSL mit dem Internet und stellt dann per Cisco ezVPN eine VPN-Verbindung zu einem VPN-Konzentrator her. Das funktioniert auch alles soweit ganz hervorragend und ohne Probleme. Nun ist das Problem nur, dass der VPN-Tunnel nach 18-20 Stunden verschwindet und der Router den Tunnel nicht wieder aufzubauen scheint. Dann hilft nur noch ein Restart des Routers. Der Router booted und baut dann den Tunnel auf und der läuft dann bis zum nächsten Mal auch sauber bis er dann wieder verschwindet. Ich kann aber nicht jeden Tag den Router rebooten. Ich habe die Konfiguration mit dem Cisco SDM WebInterface erstellt und von Hand ein wenig angepasst. Die laufende Konfiguration habe ich auch schon mit den Cisco Beispielkonfigurationen sowie anderen Konfigs aus dieversen Foren im Internet (so auch diesem) verglichen und es scheint soweit alles in Ordnung zu sein. Was soll ich machen. Gibt es da Erfahrungswerte oder tricks ? Kann ich dem Router sagen, dass er den definierten Tunnel "für immer" halten soll und wenn der unterbrochen wird immer wieder automatisch aufbauen soll ? Ich dachte das wäre Stanard. Oder kann es sein, dass der Router nach irgendwelchen Fehlversuchen (warum diese auch immer) irgendwann aufgibt den Tunnel aufzubauen. Bitte um Hilfe. Danke schonmal. Dirk Konfiguration des Routers wie folgt: !version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname XXXXXXXXXXXXXXX ! boot-start-marker boot-end-marker ! memory-size iomem 5 no logging buffered enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX ! username XXXXXX privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX clock timezone Europe/Berlin 1 clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 no aaa new-model ip subnet-zero no ip source-route no ip domain lookup ip domain name XXXXXXXXXXXXXXXXXXXXXXXXX ! ! no ip bootp server ip audit notify log ip audit po max-events 100 no ftp-server write-enable ! ! ! crypto isakmp keepalive 600 10 ! ! ! ! ! crypto ipsec client ezvpn ipsecvpn connect auto group XXXXXX key XXXXXXXXXX mode network-extension peer xxx.xxx.xxx.xxx username XXXXXXX password XXXXXXXX ! ! ! ! ! interface Ethernet0 description $FW_INSIDE$$ETH-LAN$ ip address 172.16.7.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip tcp adjust-mss 1452 no cdp enable crypto ipsec client ezvpn ipsecvpn inside ! interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown no cdp enable ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp no atm ilmi-keepalive dsl operating-mode annexb-ur2 ! interface ATM0.1 point-to-point pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface Dialer0 ip address negotiated ip mtu 1492 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username XXXXXXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXX crypto ipsec client ezvpn ipsecvpn ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip http server ip http authentication local ip http secure-server ! ! dialer-list 1 protocol ip permit no cdp run ! control-plane ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 transport preferred all transport output all line vty 0 4 privilege level 15 login local transport preferred all transport input telnet ssh transport output all ! scheduler max-task-time 5000 ! ! end