pete.db

Hmm...also demnach hätte es mit meiner Config im Anhang plus der dazugehörigen static doch funktionieren müssen. da steht ja drin : access-list DMZ permit ip any any access-group DMZ in interface dmz dazu dann die static: static (intern,dmz) dmz-pc intern-pc netmask 255.255.255.255 Aber so funktioniert es nicht. dann bekomme ich "no translation group found for ..." angezeigt. Laut Doku lässt das auf einen Fehler in der nat-Konfiguration schließen. PS: Danke dir übrigens für deine Geduld.

Okay. aber wo brauche ich die access-list denn jetzt am dmz interface? in oder out? Müsste doch eigentlich out sein, da ich ja von der dmz raus nach intern will. Habe jetzt (nur zu Testzwecken..IT-Sicherheit ist anders, ich weiß) folgendes eingegeben: access-list dmz permit ip any any access-group dmz out interface dmz jetzt bekomme ich angezeigt: deny inbound icmp src: dmz-pc dst: intern-pc oder wenn ich auf ein netzlaufwerk will: inbound tcp connection denied from dmz-pc to intern-pc on interface dmz

Danke für die Info mit dem Log-Viewer. Funktioniert gut ;) Ich habe ja schon eine access-list für das dmz-interface in der config. access-list DMZ permit ip any any (ich weiß nicht, wofür ich das brauche) access-group DMZ in interface dmz Auch wenn ich noch eine auf out interface dmz binde bekomme ich im Log-Viewer angezeigt: no translation group found for icmp src dmz:192.168.212.5 dst intern: 192.168.112.3

Okay, da gebe ich dir recht. Ich habe meine zahlreichen Versuche alle wieder aus der config rausgenommen. Mein Eintrag sah so aus: static (intern,dmz) 192.168.212.5 192.168.112.3 netmask 255.255.255.255 access-list TEST permit ip 192.168.212.5 255.255.255.0 192.168.112.3 255.255.255.0 access-group TEST in interface intern Funzt nicht. Zum Log-Viewer: Das ist das Ding was auf der ersten Seite im ASDM unten angezeigt wird, richtig? Ich kann schwer einschätzen auf welche Stufe ich das Logging setzen muss damit ich nicht zu wenig und nicht zu viele Infos dort angezeigt bekomme. Hast du hier einen Tipp für mich? Danke pete

Danke euch schon mal für die Antworten. Kurz zum Hintergrund: ich arbeite bei einem Softwarehersteller. Wir produzieren eine datenbankbasierte Software und haben von einem Kunden die Anfrage bekommen, ob unsere Software auf einem Cluster läuft. Nun wollte ich wissen ob das generell jede Software kann oder ob ich ein Testszenario aufbauen muss um das zu testen. pete

Hallo, habe da eine allgemein Frage zum Thema Cluster: Ist generell jede Software auf einem Cluster lauffähig oder kann es da Probleme geben? Muss Software speziell für die Nutzung auf einem Cluster programmiert werden? Wo finde ich Infos zu dem Thema um ein Testszenario aufzubauen? Danke pete

Hallo, ich habe vor kurzem eine Cisco ASA hier übernommen. Mehrere VPNs, mehrere Serverdienste...funktioniert alles wunderbar. Nur die Kommunikation von Servern der DMZ ins interne Netz (beim IPCop heißt sowas Schlupflöcher) funktioniert nicht. Was muss ich hierfür tun? Normalerweise doch: static -> ACL -> ACL auf interface binden -> OK Und schaut euch mal bitte die nat-Statements an. Braucht es die alle? Scheint mir ein bisschen viel, bzw. recht kreuz und quer... Danke euch schon mal ...die running-config im Anhang. pete runcfg.txt

hallo, kann mir jemand sagen, ob in einem SQL Server die Informationen überdie einzelnen DTS (Verbindungseigenschaften etc.) in irgendeiner Tabelle abgelegt werden? Und falls ja,...wie diese Tabelle heißt? Danke euch pete

Na wegen einer der vorigen Antworten: ...habe mich darauf hin nur gefragt, ob sich das naten von intern in eine dmz, aus welchem grund auch immer, "nicht gehört". pete

Ähm...kurze Frage vom Anfänger... Gibt es einen bestimmten Grund, warum man nicht von intern in die dmz naten sollte? pete

Du kannst auch einen externen Plattenstapel über SCSI an einen Windows Server anschließen.So was gibt`s z.B. von Fibrenetix. Da packst du z.B. 8 Platten im RAID 5 rein und bist gut abgesichert. Fällt eine Platte aus, schiebst du eine Neue rein und machst einen Online-Rebuild. Grätscht der Server weg, hängst du den Plattenstapel einfach an einen anderen Server. Wenn du als OS einen Windows 2003 Server Standard nimmst und ihn am Anfang vernünftig einrichtest, benötigst du bei einem System welches nur als Fileserver läuft eigentlich kaum Reboots (außer nach Patchdays). Und wirkliche Hochverfügbarkeit kostet wirklich Geld. Was bringen dir z.B. zwei Netzteile, wenn du keine USV hast...etc. pp.

N'Abend zusammen. Ich brauche mal euren Rat ;) Ich möchte bzw. muss in unserem Firmennetz ein paar Umstellungen vornehmen. Momentan gibt es eine Cisco ASA, welche direkt am Inet hängt. Direkt an der Cisco hängen zwei Subnetze (internes LAN und die DMZ). Nun benötige ich zusätzlich drei weitere Subnetze, da wir zusätzlich eine andere Firma über unsere Cisco ins Inet schicken werden (ob das gut ist oder nicht, soll hier nicht diskutiert werden ;)) Diese 5 Subnetze kann ich allerdings nicht mehr alle direkt an die Cisco anschließen, da diese nur 4 NICs hat. Also würde ich einen Router/Layer3 Switch, bzw. aus Designgründen zwei Router/Layer3 Switches an die Cisco anschließen. Dann hinter Router/Layer3 Switch Nr.1 die drei Subnetze von Firma 1 und hinter Router/Layer3 Switch Nr.2 die zwei Subnetze von Firma 2. Nun meine Fragen: Benutze ich hier nun lieber einen Router oder ein Layer3 Switch? Die Subnetze kann ich doch in einem Layer3 Switch mittels VLANs abbilden? Wie verhält sich der Datendurchsatz bei Router vs. Layer3 Switch? Oder habt ihr vielleicht völlig andere Ideen? Danke euch schon mal pete

Hallo zusammen, ich habe folgendes Problem, vielleicht weiß jemand Rat? Ich habe ein offizielles Wildcard-SSL-Zertiikat, welches (laut Hersteller) auf mehreren Webservern gleichzeitig eingesetzt werden kann. Wie kann ich dieses Zertifikat jetzt auf mehreren IIS6 einrichten? Normalerweise beruht die Installation ja auf einer vorhergegangenen Anfrage (Erstellung einer CSR). Die CSR wurde anscheinend mal auf einem "beliebigen" Server erstellt. Die Angaben sind anscheinend aber richtig (im CN steht ein * anstelle einer Subdomain). Für die Ausstellung so eines Wildcard-Zertifikats brauche ich ja auch nur eine CSR und nicht alle CSRs von allen Servern, auf denen das Zertifikat später eingesetzt werden soll... Entweder bin ich wirklich ratlos, oder kapiere irgendwas einfach nicht?!?

Meinst du zufällig dies Szenario?: Der Client stellt eine VPN-Verbindung her (die Sessions ist dann z.B. im ASDM sichtbar) aber du kannst vom Client nicht auf die Freigaben der Server zugreifen, bzw. generell keine Ressourcen des Netzwerks nutzen? Dann werden's wahrscheinlich die ACLs sein...

Hallo, kennt jemand von euch ein Tool bzw. eine Möglichkeit, die Zugriffe auf eine Datenbank (MS SQL 2000/2005) zu loggen, bzw. rauszufinden, wann eine bestimmte DB zum letzten Mal genutzt wurde (bestimmte Anfrage oder Prozedur)? Es geht dabei nur darum, ggf. Datenleichen zu finden.

Hallo, hat jemand von euch schon mal ein VPN zwsichen einer Cisco-ASA und einem FreeS/WAN realisiert? Wir sollen so ein VPN erstellen, vom FreeS-Admin habe ich Infos zur IKE und ESP-Verschlüsselung bekommen, nur leider weiß ich nicht so recht, worauf ich achten muss, bzw. welche Befehle/Attribute die entsprechenden auf der Cisco sind. Bin für jede Hilfe dankbar. Gruß Pete

Hallo, seit dem Upgrade auf ein neues OS werden im "show run" auf einer ASA sämtliche Attribute der group-policy DfltGrpPolicy angezeigt. Daher ist die Liste jetzt ewig lang und sehr unübersichtlich. Gibt es die Möglichkeit, diese Attribute unter show run nciht ausgeben zu lassen? Danke Pete

N'Abend zusammen. Brauche mal eure Meinung zu folgendem Thema: Organisiere ich meine DBs eher in viele kleine DB-Files oder in wenige (bzw. eine) Große? Das ganze unter der Voraussetzung, dass die DB-Files auf einer Platte liegen (VMware). Also losgelöst von dem Argument mehrere Files auf mehrere Platten zu verteilen. Es geht um relativ große DBs, mit vielen Anwendern und teilweise auch recht umfangreichen Loads. Administrativ ist es natürlich einfacher wenige Files zu benutzen, aber habe ich dann einbußen in der Performance? Wie sieht es des weiteren mit den Protokolldateien aus? Gruß pete

Servus! Problem ist gelöst. Es lag wohl wirklich an einem Duplex-Problem. Ich habe die Parameter für Speed und Duplex an den Interfaces für's LAN und die DMZ auf auto gestellt, und siehe da, die Übertragung flutscht auch hier mit locker 10MB/s. Die Lösung geht mir ja eigentlich ein wenig gegen den Strich,...aber der Zweck heiligt eben die Mittel. Danke euch jedenfalls für die Hilfe. Gruß Pete

Hallo, die Übertragung innerhalb der DMZ läuft mit ca. 10MB/s. Also wunderbar. Kurz zusammengefasst: Alle Übertragung per FTP. Client (im LAN) --> FTP-Server1 (im LAN) = ca. 10MB/s Client (im LAN) --> FTP Server2 (in DMZ) = ca. 1,5 - 2MB/s Client (im LAN) --> FTP Server3 (auch in DMZ) = ca. 1,5 - 2MB/s Client (in DMZ) --> FTP Server2 (in DMZ) = ca. 10MB/s. Das Problem ist anscheinend wirklich nur die Übertragung zwischen den Interfaces LAN und DMZ. Innerhalb der DMZ und des LAN läuft`s mit gut 10MB/s.

Servus! Woran kann es liegen, dass die Datenübertragung vom internen LAN in mein DMZ so langsam ist? Habe eine Cisco ASA im Einsatz. Am interface0 hängt das inet (sec-level 0), am interface1 das interne LAN (sec-level 100) und am interface2 eine dmz (sec-level 50). Alle Interfaces stehen auf 100/full-duplex. Wenn ich von einem Client aus dem internen LAN auf einen FTP-Server im internen LAN übertrage, habe ich eine Übertragungsgeschwindigkeit von ca. 10MB/s. Übertrage ich vom gleichen Client auf einen FTP-Server in der DMZ, habe ich eine Geschwindigkeit von max. 1,5 - 2MB/s. Bei Übertragungen zwischen Netzlaufwerken verhält sich die Sache ähnlich. Kann nciht normal sien, oder? ...bin für jede Hilfe dankbar :( pete

OK. Trotzdem danke. Hauptsache ist ja, dass das Problem beseitigt ist. :) pete

Erstmal vielen Dank für eure schnelle Hilfe ;) Es lag wirklich an der ESMTP-Inspection, welche anscheinend per default eingerichtet wird. Habe sie deaktiviert, und die Mails flutschen wieder. Sehr schön,...vielen Dank. PS: Auf dem Exchange bekomme ich gar keine Fehlermeldungen. Nur die user bekommen die info, dass die mail nicht zugestellt werden konnte. @weg5st0: ist der Eintrag für den SMTP-Absender unbedingt notwendig? Habe ihn bislang jedenfalls nicht konfiguriert und der Mailversand scheint nun ja wieder zu laufen. Wäre dir trotzdem für den Befehl dankbar (falls du ihn parat hast), da ich das Ding schon "korrekt" einrichten möchte. danke euch... pete

N'Abend zusammen. Habe einen Microsoft Exchange 2003 Mailserver, welcher über eine ASA 5510 und eine CompanyConnect (Standleitung) E-Mails versendet. Generell funktioniert`s einwandfrei. Nur die Mails an AOL bleiben in der Exchange-Warteschlange hängen. Das Problem liegt definitiv an der ASA. Wenn ich an Stelle der ASA einen IPCop einsetze (als Firewall und inet-Gateway) gehen die Mails sofort raus. Erhöhen der maximalen DNS-Größe vom default-Wert 512 auf beliebig (bin bis zum Maximum 65535 hochgegangen) ändert nichts. Hat jemand das gleiche Problem (gehabt) oder konnte es jemand lösen?

Hallo zusammen, vielleicht könnt ihr mir bei folgendem Problem helfen. Wie kann ich das logging bei der ASA (OS 7.2) z.B. auf eine externe IP beschränken? Bzw. wo geht das Logging hin, wenn ich bei einer Access-List am Edne log eingebe? Habe bei Thema logging nur die Unterscheidung für die severity-Level gefunden. Ist mir für manche Fälle aber nicht genau genug, bzw. gibt mir zu viel Info, die ich nicht brauche.