Webwalker

Dieser Befehl sagt ja lediglich, das IPsec Traffic (VPN Traffic) ohne Prüfung an den Access-Lists vorbeigeschleust wird. Eigentlich möchte ich ja genau das Gegenteil.

Hallo zusammen, ich habe ein Problem bzw. komme bei den Vorbereitungen zu meiner CCSP Cisco Zertifizierung nicht weiter. Kurz zu dem Szenario: Ich habe auf der einen Seite einen Cisco 2821 und auf der anderen Seite eine ASA 5520. Zwischen den beiden Geräten ist ein 2621er, der quasi das unsichere Internet darstellt. Der 2821 und die ASA sind mit jeweils einem Ethenet Interface an den 2621er verbunden. Die Kommunikation von 2821 zu ASA läuft über einen IPsec Tunnel. Die Konfiguration dafür ist auf beiden Seiten eingetragen und der Aufbau des Tunnels, sowie die Datenübertragung funktioniert ohne Probleme. So, nun habe ich auf dem 2821er eine Access-Liste erstellt, die auf dem Interface nach draußen (zum Internet Router 2621) sämtlichen Verkehr - bis eben auf den IPsec Tunnel und Echo-Replys - verbieten soll. Das hat auch auf den 2821er ohne weiteres geklappt (IPsec Tunnel kann aufgebaut werden und die Hosts hinter 2821 und ASA können sich pingen), nur sobald ich auf der ASA selbiges konfigurieren möchte klappt das nicht. Im Detail sieht entsprechende Konfig des 2821 so aus: . . . interface GigabitEthernet0/0 description to 2621_Internet_Router ip address 10.0.10.250 255.255.255.0 ip access-group Interface_Security in duplex auto speed auto crypto map IPsec_Tunnel_map . . . ip access-list extended Interface_Security permit udp host 192.168.100.250 host 10.0.10.250 eq isakmp permit esp host 192.168.100.250 host 10.0.10.250 permit icmp any any echo-reply deny icmp any any log deny ip any any log . . . Die der ASA (Outside Interface zum 2621_Internet_Router): . . . access-list to_2621_Internet extended permit esp host 10.0.10.250 host 192.168.100.250 access-list to_2621_Internet extended permit udp host 10.0.10.250 host 192.168.100.250 eq isakmp access-list to_2621_Internet extended deny ip any any . . . access-group to_2621_Internet in Interface Outside . . . Mit oben genannten Einstellungen der ASA, die quasi das Gegenteil der Config des 2821er darstellen baut sich kein Tunnel auf. Wenn ich jedoch > access-list Internal_ACL extended permit ip any any < oder die Access-Liste auf dem Outside Interface ganz entferne geht alles. Es muss doch einen Weg geben, wie ich das Outside Interface der ASA dicht mache, so dass nur der IPsec Tunnel durchgelassen wird. Auf dem 2821 geht das ja auch... Was übersehe ich bei der ASA? Ich hoffe jemand kann mir helfen, ich weiß momentan echt nicht woran das liegen könnte... Danke schonmal vorab

Hi, Ich nutze Transport Mode. Dieses Update habe ich schon eingespielt - leider keine Besserung :( Gruß, Webwalker

Hallo zusammen, ich habe ein Problem und hoffe, dass Ihr mir helfen könnt: Ich betreibe eine W2k Domäne (SP4) und möchte nun sporadisch die W2k clients auf XP umstellen. Mit W2K Clients gab es bisher keine Probleme, doch sobald ich einen XP Client der Domäne hinzugefügt habe und neu starte dauert der Anmeldevorgang zur Domäne jedesmal länger als 30 Minuten. Das Problem tritt sowohl bei Verwendung von XP SP2, als auch bei XP ohne SP auf. Auf meiner Suche nach Fehlern habe ich mal IPsec, das im gesamten Netz verwendet wird ausgeschaltet (allerdings nur testweise von einer XP Workstation zum Domain Controller) und siehe da, die Anmeldung der XP Workstation geht nun genauso schnell wie bei W2K Clients! IPsec dauerhaft ausgeschaltet zu lassen ist keine Lösung für mich. In der Knowlege Base bin ich zu diesem Problem leider auch nicht fündig geworden. :( Weiß vielleicht jemand von Euch, wie ich IPSec zwischen W2K Domain Controllern und XP Clients aktiviert haben kann ohne, dass die Anmeldung zur Domäne jedesmal über 30 Minuten dauert ??? Gibts da evt. ein Update, ein Fix oder sowass Für Antworten wäre ich sehr dankbar Viele Grüße, Webwalker