whiggy

Hi,

 

was meinst du mit "eigenes DMZ" Interface - alle Ports im "DMZ" VLAN oder 6 einzelne Netze ?

 

Die 5505 trennt alles nur per VLAN´s und setzt dann die Ports auf "switchport mode access vlan x"

OK, wenns per VLAN geht isses auch OK, dann mach ich einfach 6 verschiedene VLANS und ordne die Ports entsprechend zu.

whiggy.local > nur für die DNS-Zone oder für den ganzen DC? (also local.whiggy.at)

Noch eine Frage:

Wenn ich den DNS automatisch im Zuge der AD-Installation einrichten lasse, dann entstehen automatisch 2 Forward-Lookup-Zonen, die eine hat den Namen, den ich angegeben habe z.b. whiggy.at, aber die andere heisst msdcs...irgendwas, wofür soll die eigentlich gut sein?

Hi Leute!

Ich habe folgendes Problem:

Ich habe eine Website (whiggy.at), die ist bei meinem Webspace-Provider gehostet. Jetzt habe ich einen DC aufgesetzt, der die Domäne whiggy.at verwaltet (es wurden auch automatisch entsprechende DNS-Einträge erstellt) aber jetzt komme ich nicht mehr auf meine Website whiggy.at.

Soll ich die DNS-Forward-Lookup-Zone löschen und einen anderen Namen verwenden? Aber ich habe auch vor, einen Exchange-Server zu installieren, der die Domäne whiggy.at bedient. Aber die Website soll weiterhin beim PRovider bleiben.

Wie sollte ich am besten vorgehen?

Danke für eure Hilfe.

Weiss Jemand, ob man bei der ASA 5505 SEC-Edition (mit DMZ Unterstützung) auch wirklich jedes der 8 Ports individuell konfigurieren kann?

Sprich, theoretisch 1 Port als Outside-Interface, 1 Port als Inside-Interface und die anderen 6 jedes als eigenes DMZ Interface?

Hmm OK, aber wenn ich für 200€ eine PIX515E UR bekommen würde, dann würde ich sie der ASA 5505 vorziehen denk ich.

Hallo,

 

ok das macht die Standart Variante nicht. Es gibt aber von der 5505 ne Sec Plus Edition die kann bis 20 VLANs, die hat dann auch "Unlimitierte User". Bekommt man für unter 1000 Euro.

 

Produktangaben:

Cisco Adaptive Security Appliance (ASA) 5505-SEC-BUN-K9 Firewall Edition - Security Plus Lizenz - Unlimitiertes User Bundle: Unlimitierte User Firewall, 25 IPSec VPN- und 2 SSL-VPN-Anwendersitzungen, 3DES/AES Lizenz, DMZ, Stateless Active/Standby high availability, 8-Port 10/100 Fast Ethernet Switch (davon 2 mit Power over Ethernet (PoE)), 20 VLANs, SSC-Erweiterungsslot, Einfache Einrichtung, Verwaltung und Überwachung mit dem integrierten Cisco Adaptive Security Device Manager

 

Grüße

 

Tobikom

Aha, klingt interresant, wäre noch zu klären ob man hier auch wirklich jedes physische Interface als eigene DMZ programmieren kann, oder ob es lediglich via VLAN-Trunking z.b. zu einem Switch geht.

Hallo,

 

wenn du jetzt ne PIX 501 hast, wieso nimmst du dann nicht ne ASA 5505. Die gibts je nach Useranzahl schon ab 200 Euro und ist deutlich leistungsstärker als die PIX 501.

 

Grüße

Tobikom

Brauche 4 verschiedene DMZ-Interfaces. KAnn das das Teil in der SEC-Edition?

"Neu" gibts die PIX e nimma, aber sind 790€ für eine PIX 515 UR nicht etwas zu hoch gegriffen?

Hi Leute!

Ich möchte mir eine neue, etwas potentere Firewall anschaffen und meine PIX 501 in Rente schicken.

Eine PIX 515 UR gibt es gebraucht bei ebay schon um ca. 800€, die ASA 5510 SEC-Bundle dagagenen kostet schon über 2K Euro. Die Frage ist aber, ob es sich jetzt (trotz des Preisunterschiedes) noch auszahlt eine PIX 515 zu kaufen? Immerhin wird das Teil ja nicht mehr supported von Cisco.

Was mein ihr?

Bei der "Normal" DMZ (kostenfrei) kannst du von nur einem Interface (meisst Outside) in die DMZ zugreifen - aber nicht von einem anderen (z.B. Inside) - man kann so z.B. einen Web oder was auch immer Server da reinstellen - den man aber von innen nicht erreichen will. Wenn man die Erweiterung macht - kommt man von allen Seiten an die DMZ ran.

Nun gut, aber das DMZ Interface der Firewall muss ja auch eine IP haben.

Wenn ich jetzt das DMZ Interface einfach in ein eigenes VLAN auf meinem Switch hänge, in dem auch die ganzen Server hängen, die in der DMZ sein sollen, kann ich ja mitm L3-Switch InterVLAN-Routing beteieben und komme dann auch von "inside" auf das DMZ-Port. Die eigentliche Zugriffsteuerung läuft dann über Access-Listen.

As business needs grow, customers can install a Security Plus upgrade license, enabling the Cisco ASA 5505 Adaptive Security Appliance to scale to support a higher connection capacity and a higher number of IPsec VPN users, add full DMZ support, and integrate into switched network environments through VLAN trunking support.

 

Cisco ASA 5500 Series Adaptive Security Appliances [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

Naja genau das war meine Frage. Wo ist der Unterschied zwischen DMZ und "full" DMZ :)

Der ist nicht voll routingfaehig. Wenn du ne richtige DMZ willst isses n bisschen doof.

Was macht denn deine PIX alles?

Naja wenns nicht routingfähig ist, isses auch kein DMZ Port :)

Meine Pix dient im Moment als VPN-Server, für SitetoSite VPN und Internet-Firewall.

ICh würde aber gerne eine DMZ einrichten, deshlab meine Frage.

Hi Leute!

Ich möchte meine PIX 501 zu Hause gegen eine ASA 5505 ersetzen. Auf der Cisco Homepage steht etwas über ein "restricted" DMZ-Port. Was ist mit restricted in diesem Fall für eine Einschänkung gemeint?

Hier wird einiges dazu beschrieben: Microsoft Corporation

 

Aber Du könntest bei Gelegenheit auch einfach den Anmeldedienst neu starten. Außerdem wäre der Fehlercode auch nicht schlecht. Sind noch andere Fehler vorhanden?

Fehlercode 1054

Sind die SRV-Records vorhanden? Wenn nicht, dann starte den Anmeldedienst mal neu und schau, ob diese dann erstellt worden sind.

Wo sehe ich das?

Hi @ all!

Ich habe auf unserem Domänencontroller folgendes Probelm, ich bekomme alle 3 Minuten ins Ereignisprotokoll unter Anwendungen folgende Fehlermledung:

"Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Unerwarteter Netzwerkfehler. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen."

ICh habe schon alles versucht was möglich ist. DNS läuft problemlos selbst eine Reverse-Lookup-Zone wurde eingerichtet, der Server hat sich selbst als DNS eingetragen, die Clients haben den Server als DNS eingetragen.

Gpupdate wurde auch ausgeführt.

Hab auch schon auf Technet nachgesehen, das steht nur, dass das auftritt wenn die Clients den falschen DNS Server eingetragen habe. Aber dem ist nicht so.

Es gibt auch keinerlei Probleme sondern eben nur diese lästige Fehlermeldung. Pro Tag passiert es ca. 1000 mal.

Villeicht hat jemand eine Lösung.

Hi Leute!

Ich hab seit kurzem folgendes Probem mit dem Exchange 2003 Server:

Es passiert seit neuesten, das periodisch keine E-Mails mehr empfangen werden können (Versand geht problemlos). Das Problem löst sich nach ein paar Stunden von selbst und im Ereignisprotokoll steht, dass der Dienst MAD.exe keine Verbindung zum DC herstellen konnte.

Die Porblematik tritt in der Woche 2-3x auf und ist höcht ärgerlich. Hab alles ServicePacks und Hotfixes drauf. Betroffen sind alle 65 Postfächer!

Ich hab schon sämtliche Exchange Einstellungen überprüft aber alles scheint normal zu sein.

 

PIXen sind EoS,würd ich bei nem Securityprodukt,auch wenns "Home-Use" ist nie kaufen.

Finde meine PIX 501 durchaus geeignet fürn Heimgebrauch :)

Ih würde keines aus der 800er Serie empfehlen sondern eher eine ASA Firewall oder wenn schon router dann 1811 oder 1841

Ich hab doch gesagt du musst das noch mit den IPs machen. Ich hab das nur von meinen kopiert. Ich machs aber noch mit Loopback und schnickschnack. Waere dann zu kompliziert. Gib Bri0 ne IP und mach bei Dialer ip unnumbered bri0

OK Danke werde das versuchen.

dialer maps brauchst du wenn du rauswaehlen willst, also auf der gegenseite.

Schau Dir mal dieses Beispiel direkt von Cisco an:

Sample Configuration: Basic ISDN Configuration  [iSDN, CAS] - Cisco Systems

Hier wird auf beiden Router eine dialer-map configuriert.

username test password test

isdn switch-type basic-net3

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 3

isdn switch-type basic-net3

ppp authentication pap chap

ppp multilink

!

interface Dialer2

ip unnumbered bri0

encapsulation ppp

dialer pool 3

dialer remote-name test

dialer-group 3

no cdp enable

ppp authentication pap chap callin

ppp multilink

!

dialer-list 3 protocol ip permit

 

So ungefaehr .. musst halt noch mit den IPs rumspielen.

THX!

Aber warum keine IP's?

Ginge es so:

hostname branch1

!

username main password secret1

!

isdn switch-type basic-dms100

!

!

interface BRI 0

encapsulation PPP

ip address 131.108.157.1 255.255.255.0

isdn spid1 415988488501 9884885

isdn spid2 415988488602 9884886

ppp authentication chap

dialer idle-timeout 300

dialer map IP 131.108.157.2 name main 4883

dialer-group 1

!

ip route 131.108.0.0 255.255.0.0 131.108.157.2

!

ip route 0.0.0.0 0.0.0.0 131.108.157.2

!

dialer-list 1 protocol ip permit

doch brauchst du

Ich kenn mich bald schon gar nicht mehr aus mit diesem ISDN Konfigs.

Schön langsam alles ziemlich verwirrend dür mich.

Hat villeicht jemand ein Beispiel für eine eingehdene ISDN Verbindung?

Und der Username? Hast den auch eingetragen? Das BRI konfiguriert?

Für eingehende Verbindungen werde ich kein BRI brauchen oder?

(Zumindest stehts so in den Cisco Trainingsunterlagen)

In den Cisco Trainingsunterlagen war ein Beispiel, in dem von einem ISDN Router zum Anderen eine Verbindung konfiguriert wird. Hier wird aber das BRI nur bei dem Router konfiguriert, bei dem die Verbindung abgehend ist.