onedread

HI Habe heute mit dem archive-download befehl das neueste image geladen doch nach dem neustart blinkt nach einiger Zeit das untere Led immer nur Rot und auf der Console übers Consolekabel steht dann nur mehr System-Restarting. Frage. Wie kann ich den Bootvorgang unterbrechen damit ich das Image neu flashn kann. mfG onedread

am Server von wo das Programm aus gestartet wird ist es win2k Server, die Workstations sind XP Sp2 und die Daten liegen auf einem Novell Netware Server NSS Partition.

Daten liegen auf einer SAN mit U320 Festplatten im Raid5. Normales browsen über den Explorer kein Problem nur über dieses Programm gibt es Schwierigkeiten. Weil es gleich aus den kleinen Dateien die ganzen Infos zu einem ganzen Teil zusammenfügt.

Hi Wir haben in der Firma ein kleines Problem, wir benutzen ein Programm für die Leiterplattenherstellung und reparatur. Diese Leiterplatten werden als Jobs dargestellt und diese Jobs sind als Ordner aufgeteilt und in diesen Ordner sind enorm viele Dateien die die Größe von 1 -4kb nicht überschreiten. Da aber das Programm bei jedem Verzeichnis wechsel alle Unterverzeichnisse durchscannt, dauert es extrem lange bis das Programm reagiert. Jetzt meine Frage wie kann ich die Geschwindigkeit/Performance erhöhen das der Zugriff schneller geht. Sind das Einstellungen am Pc oder kann ich da an den Switches etwas an Performance rausholen. Der Server hängt auf Kupfergigabit und die Clients sind alle nur 100MBit. Any ideas? onedread

HI ich glaube mal gelesen zu haben das es über die ports 138,139, 445 die microsoft dateifreigabe funktinioert. ich habs zum beispiel bei mir bei einem VPN Tunnel getestet da hab ich nur den Port 445 freigegebn und es hat funktioniert aber besten du googlest mal nach den oben genannten ports da findest du sicher eine anleitung. mfg onedread

ja und mit diesem Statement ist dann wohl alles klar. connection permit-ipsec Implicitly permit any packet that came from an IPSec tunnel and bypass the checking of an associated access-list, conduit, or access-group command statement for IPSec connections. Use the sysopt connection permit-ipsec command in IPSec configurations to permit IPSec traffic to pass through the PIX Firewall without a check of conduit or access-list command statements. An access-list or conduit command statement must be available for inbound sessions. By default, any inbound session must be explicitly permitted by a conduit or access-list command statement. With IPSec protected traffic, the secondary access list check could be redundant. To enable IPSec authenticated/cipher inbound sessions to always be permitted, use the sysopt connection permit-ipsec command. Ok. thx guys. onedread

HI Anscheinend hab ich nun die Lösung gefunden und zwar war es der Befehel sysopt connection permit-ipsec, denn hab ich nun mit einem no disabled und schon greifen die ACL-Statements. SO nun wäre für diesen Tunnel das Probelm gelöst, nur was passiert mit den anderen Tunneln wenn ich diesen Befehl aus der config nehme funktionieren die jetzt nun nicht mehr, oder wie? Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs. Anregungen Tipps oder, was auch immer? :) onedread

he Also ich hab das nun ausprobiert, das ich ein acl-statement hinzufüge das ans outside interface gebunden ist für den VPN-Zugang damit ich ihn beschränken kann, leider funktioniert es bei mir nicht ich wollte lediglich den port 5900 freigebn und sonst hab ich alles denied. Doch leider kann ich immer noch auf die Freigaben des Clients zugreifen. Hegl hast du das bei deinen configs schon richtig hinbekommen? Weil auf keiner Cisco Doku die ich schon durchgesehen habe wird irgendwo geschrieben das die VPN-Clients nur auf einen bestimmten Port zugreifen dürfen sonst würd ich nicht soviele Fragen diesbezüglich stellen. Help thx onedread

HI ok danke hegl ich werds dann nochmals versuchen mit dem outside interface. Weiters gibt es einen Befehl mit dem ich einen bestimmten VPN Tunnel beenden kann und die anderen sollen weiterlaufen. Wie ist das möglich. ciao onedread

kannst du vom switch aus die ip vom rechner pingen? Läuft der TFTP server?

wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden? das verstehe ich noch nicht und ist wichtig für mich. thx onedread

he hegl hast du das nun schon bei der Konfig hinbekommen das nur bestimmter traffic durch darf? bin leider noch nicht weit gekommen. Noch ne Frage wenn ich mich per vpn anmelde bei meiner pix, mit welchem befehl kann ich freischalten das ich dann über ssh lokal auf die pix zugreifen darf, kann. thx onedread

das versteh ich jetzt nicht ganz. kann ich die acl für die vpns nicht einfach zu der acl hinzufügen die schon am interface gebunden ist. achja und welche interface muss ich das aufm inside oder aufm outside machen und muss ich dann zuerst die ip's der vpn clients oder die ip von den lan clients angeben? irgendwie hab ich auch bei cisco für sowas noch nichts gefunden. ciao onedread

HI auf was für ein Interface soll ich bitte die ACL binden ich kann nur pro Interface eine ACL, bindne und die hab ich schon gebundne. Also wenn ich nun eine ACL schreibe die den VPn Tunnel eine Zugriffsberechtigung gibt muss ich ich die dann ans inside oder outside tunnel binden? Bzw. kann ich einfach der ACl die schon ans dementsprechnde Inside gebunden ist einfach mit der Regel adaptieren. thx onedread

HI d.h. also das die access-liste beim nat 0 statement den vpn clients die route gibt. der split-tunnel sagt dann welcher traffic wohin verschlüsselt wird und welcher nicht. und dann brauch ich also noch eine weitere ACL die sagt was die Clients aus den VPN's dürfen und was nicht? Wohin muss ich dann diese ACL binden? Oder muss diese ACL nur vorhanden sein.? onedread

HI ok das hast in der VPN_NO_NAT die an nat (inside) 0 VPN_NO_NAT gebunden wird, steht der Eintrag permit ip host 10.10.10.100 172.16.84.0 255.255.255.0 und dann leg ich noch eine ACL oder mach ich das mit der ACL die ich beim vpngroup split-tunnel mappe? das ist eigentlich was ich nicht weiß was macht eigentlich der Befhel split-tunnel beim vpngroup Befehl. thx onedread

Hi Foglendes Problem ich hab einen neuen Tunnel für Mobile User angelegt. Die nur eine telnet session auf eine IP in unserem LAN ereichen sollen. Ich kann mich auch anmelden das funktioniert ohne probleme dann habe ich in die Access-liste VPN_NO_NAT permit tcp host 10.10.10.100 172.16.84.0 255.255.255.0 eq 23 hinzugefügt und mit nat (inside) 0 VPN_NO_NAT gebunden weiters habe ich noch eine ACL VPN-PAL angelegt wo ich ebenfalls den oben angeführten befehl adaptiert habe. das geht nicht wenn ich aber bei entweder bei der VPN_NO_NAT oder VPN-PAL die permit ip host 10.10.10.100 172.16.84.0 255.255.255.0 hinzufüge kann ich es machen das will ich aber nicht ich will wirklich rein nur telnet und lpr durch den tunnel lassen was kann denn hier der Fehler sein bitte. Im log ist gestanden wie nur die tcp acl gebunden waren 2007-03-28 17:50:30 Local7.Error 10.10.10.7 Mar 28 2007 17:38:51: %PIX-3-305005: No translation group found for tcp src outside:172.16.84.1/1645 dst daten:10.10.10.100/23 any ideas? thx onedread

HI was macht das nat (inside) 0 access-liste und was das vpngroup split-tunnel access-liste bitte um hilfe habs einfach nicht gecheckt. thx onedread

HI Danke mal für die Antworten. Vielleicht habe ich vergessen zu sagen das es mehrere VPN'S für Softwareclients sein sollen und keine PIX to PIX VPN'S. Aber wenn ich mir so die Konfigs durchsehe dann muss ich wohl für jeden Tunnel eine eigene Verschlüsselung machen, gilt das auch für VPN'S die über den Cisco VPN Client initiert werden auch? thx onedread

seas Ich kann dir da leider nicht weiterhelfen aber vielleicht hilft dir dieser LINK A-Z Products Index [Products & Services] - Cisco Systems mfg onedread

HI Ich will nun mehrere VPNS auf einer PIX terminieren lassen, kann ich jetzt nur mit den Befehlen vpngroup Befehlen einen neuen einrichten plus Access-liste und das wars ode rmuss ich mit dem crypto Befehl auch noch für jeden weiteren VPN die Verschlüsselung anpassen oder kann ich für alle VPN's die Verschlüsslung nutzen die ich für den 1. VPN angelegt habe? Wer das weiss bitte melden. THX onedread

HI Meine neue Frage, wie kann ich die Antwortzeiten innerhalb des VPN'S verbessern habe immer so um die 1000ms Ping. Kann ich da selbst was machen oder muss da der Provider was machen. Vom gleichen Provider aus hab ich es noch nicht getest. Habe Internet über Funk und greife entweder über Standleitung oder ADSL auf den VPN zu. Glaubt ihr das es besser wird wenn ich die PIX auf den ADSL Anschluss lege? thx onedread

HI also zu Hause funktioniert es, da ich derzeit noch 2 internetanschlüsse zu hause habe konnte ich es gestern erfolgreich testen. nur in wenn ich es von meiner Firm aus mache kann ich mich zwar connecten doch leider hab ich keinen Zugriff auf die Rechner, aber ich glaube das liegt daran weil wir selber auch ein dmz netz in diesem Bereich haben. so weiters würd ich nun gern als VPN User die pix via telnet oder ssh fernverwalten muss ich das nun auch noch in der access-l hinzufügen oder geht das über die befehle telnet und ssh weil da hab ich ja e noch 0.0.0.0 bei beiden drinnen stehen. geht abe rnicht. das ist der debug output wenn ich von der Firma aus via VNC auf einen Client bei mir zu Hause zugreifen will crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500 ISAKMP (0): processing NOTIFY payload 36136 protocol 1 spi 0, message ID = 3459027474 ISAMKP (0): received DPD_R_U_THERE from peer XXX ISAKMP (0): sending NOTIFY message 36137 protocol 1 return status is IKMP_NO_ERR_NO_TRANS crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500 ISAKMP (0): processing NOTIFY payload 36136 protocol 1 spi 0, message ID = 659762811 ISAMKP (0): received DPD_R_U_THERE from peer XXX ISAKMP (0): sending NOTIFY message 36137 protocol 1 any ideas?

interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password XXX encrypted passwd XXX encrypted hostname pixfirewall domain-name wellcom.at fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 no fixup protocol sip 5060 no fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any access-list acl-outside permit ip 192.168.2.0 255.255.255.0 any access-list acl-inside permit tcp any host 192.168.1.50 eq 5900 access-list acl-inside permit tcp any host 192.168.2.2 eq 5900 access-list acl-inside permit tcp any host 192.168.2.2 eq 5901 access-list 101 permit ip 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0 access-list 101 permit icmp 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0 pager lines 24 logging on logging timestamp logging buffered debugging logging trap debugging logging facility 23 logging host inside 192.168.1.50 mtu outside 1500 mtu inside 1500 ip address outside 10.0.10.150 255.255.0.0 ip address inside 192.168.2.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool vpn1 192.168.4.1-192.168.4.20 pdm location 192.168.1.50 255.255.255.255 inside pdm location 192.168.1.0 255.255.255.0 outside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 192.168.2.2 5901 192.168.2.2 5900 netmask 255.255.255.255 0 0 access-group acl-inside in interface outside access-group acl-outside in interface inside route outside 0.0.0.0 0.0.0.0 10.0.10.100 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.1.50 255.255.255.255 inside http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set myset crypto map maymap 10 ipsec-isakmp dynamic dynmap crypto map maymap interface outside isakmp enable outside isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 vpngroup vpn1 address-pool vpn1 vpngroup vpn1 default-domain wellcom.at vpngroup vpn1 split-tunnel 101 vpngroup vpn1 idle-time 1800 vpngroup vpn1 password ******** telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh 0.0.0.0 0.0.0.0 outside ssh 0.0.0.0 0.0.0.0 inside ssh timeout 30 console timeout 0 username onedread password XXX encrypted privilege 2 terminal width 80 thx 4 help onedread

HI so hier mal die aktulle konfig : Saved : PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password XXX encrypted passwd XXX encrypted hostname pixfirewall domain-name wellcom.at fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 no fixup protocol sip 5060 no fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any access-list acl-inside permit tcp any host 192.168.1.50 eq 5900 access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0 access-list 100 permit tcp 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 5900 pager lines 24 logging on logging timestamp logging trap debugging logging facility 23 logging host inside 192.168.1.50 mtu outside 1500 mtu inside 1500 ip address outside 10.0.10.150 255.255.0.0 ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool vpn1 192.168.4.1-192.168.4.20 pdm location 192.168.1.50 255.255.255.255 inside pdm location 192.168.1.0 255.255.255.0 outside pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 0 access-list 80 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 192.168.1.50 5900 192.168.1.50 5900 netmask 255.255.255.255 0 0 access-group acl-inside in interface outside access-group acl-outside in interface inside route outside 0.0.0.0 0.0.0.0 10.0.10.100 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.1.50 255.255.255.255 inside http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set strong-des esp-3des esp-sha-hmac crypto dynamic-map cisco 4 set transform-set strong-des crypto map partner-map 20 ipsec-isakmp dynamic cisco crypto map partner-map interface outside isakmp enable outside isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 isakmp policy 8 authentication pre-share isakmp policy 8 encryption 3des isakmp policy 8 hash md5 isakmp policy 8 group 1 isakmp policy 8 lifetime 86400 vpngroup vpn1 address-pool vpn1 vpngroup vpn1 dns-server 192.168.1.1 vpngroup vpn1 default-domain wellcom.at vpngroup vpn1 split-tunnel 80 vpngroup vpn1 idle-time 1800 vpngroup vpn1 password ******** vpngroup von1 idle-time 1800 telnet 0.0.0.0 0.0.0.0 inside telnet timeout 5 ssh 0.0.0.0 0.0.0.0 outside ssh 0.0.0.0 0.0.0.0 inside ssh timeout 30 console timeout 0 username onedread password XXX encrypted privilege 2 terminal width 80