![](https://www.mcseboard.de/uploads/set_resources_11/84c1e40ea0e759e3f1505eb1788ddf3c_pattern.png)
onedread
-
Gesamte Inhalte
377 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von onedread
-
-
am Server von wo das Programm aus gestartet wird ist es win2k Server, die Workstations sind XP Sp2 und die Daten liegen auf einem Novell Netware Server NSS Partition.
-
Daten liegen auf einer SAN mit U320 Festplatten im Raid5. Normales browsen über den Explorer kein Problem nur über dieses Programm gibt es Schwierigkeiten. Weil es gleich aus den kleinen Dateien die ganzen Infos zu einem ganzen Teil zusammenfügt.
-
Hi
Wir haben in der Firma ein kleines Problem, wir benutzen ein Programm für die Leiterplattenherstellung und reparatur. Diese Leiterplatten werden als Jobs dargestellt und diese Jobs sind als Ordner aufgeteilt und in diesen Ordner sind enorm viele Dateien die die Größe von 1 -4kb nicht überschreiten.
Da aber das Programm bei jedem Verzeichnis wechsel alle Unterverzeichnisse durchscannt, dauert es extrem lange bis das Programm reagiert.
Jetzt meine Frage wie kann ich die Geschwindigkeit/Performance erhöhen das der Zugriff schneller geht.
Sind das Einstellungen am Pc oder kann ich da an den Switches etwas an Performance rausholen.
Der Server hängt auf Kupfergigabit und die Clients sind alle nur 100MBit.
Any ideas?
onedread
-
HI
ich glaube mal gelesen zu haben das es über die ports 138,139, 445 die microsoft dateifreigabe funktinioert. ich habs zum beispiel bei mir bei einem VPN Tunnel getestet da hab ich nur den Port 445 freigegebn und es hat funktioniert aber besten du googlest mal nach den oben genannten ports da findest du sicher eine anleitung.
mfg
onedread
-
ja und mit diesem Statement ist dann wohl alles klar.
connection permit-ipsec
Implicitly permit any packet that came from an IPSec tunnel and bypass the checking of an associated access-list, conduit, or access-group command statement for IPSec connections.
Use the sysopt connection permit-ipsec command in IPSec configurations to permit IPSec traffic to pass through the PIX Firewall without a check of conduit or access-list command statements.
An access-list or conduit command statement must be available for inbound sessions.
By default, any inbound session must be explicitly permitted by a conduit or access-list command statement. With IPSec protected traffic, the secondary access list check could be redundant. To enable IPSec authenticated/cipher inbound sessions to always be permitted, use the sysopt connection permit-ipsec command.
Ok. thx guys.
onedread
-
HI
Anscheinend hab ich nun die Lösung gefunden und zwar war es der Befehel sysopt connection permit-ipsec, denn hab ich nun mit einem no disabled und schon greifen die ACL-Statements.
SO nun wäre für diesen Tunnel das Probelm gelöst, nur was passiert mit den anderen Tunneln wenn ich diesen Befehl aus der config nehme funktionieren die jetzt nun nicht mehr, oder wie?
Bzw. was hat dieser Befehl überhaupt für Auswirkungen, so wie es scheint erlaubt er jeglichen Traffic der verschüsselt ist und deswegen greifen keine ACLs.
Anregungen Tipps oder, was auch immer?
:)
onedread
-
he
Also ich hab das nun ausprobiert, das ich ein acl-statement hinzufüge das ans outside interface gebunden ist für den VPN-Zugang damit ich ihn beschränken kann, leider funktioniert es bei mir nicht ich wollte lediglich den port 5900 freigebn und sonst hab ich alles denied.
Doch leider kann ich immer noch auf die Freigaben des Clients zugreifen.
Hegl hast du das bei deinen configs schon richtig hinbekommen?
Weil auf keiner Cisco Doku die ich schon durchgesehen habe wird irgendwo geschrieben das die VPN-Clients nur auf einen bestimmten Port zugreifen dürfen sonst würd ich nicht soviele Fragen diesbezüglich stellen.
Help
thx
onedread
-
HI
ok danke hegl ich werds dann nochmals versuchen mit dem outside interface.
Weiters gibt es einen Befehl mit dem ich einen bestimmten VPN Tunnel beenden kann und die anderen sollen weiterlaufen. Wie ist das möglich.
ciao
onedread
-
kannst du vom switch aus die ip vom rechner pingen? Läuft der TFTP server?
-
wo sag ich dann der pix das sie nur den tcp port 23 durch den tunnel auf eine bestimmte ip durschlassen soll und sonst nichts? auch im split-tunnel oder in einer eigenen ACL. Und auf welches Interface muss ich die ACl dann binden weil ich kann ja nur pro interface eine ACL binden?
das verstehe ich noch nicht und ist wichtig für mich.
thx
onedread
-
he hegl
hast du das nun schon bei der Konfig hinbekommen das nur bestimmter traffic durch darf?
bin leider noch nicht weit gekommen.
Noch ne Frage wenn ich mich per vpn anmelde bei meiner pix, mit welchem befehl kann ich freischalten das ich dann über ssh lokal auf die pix zugreifen darf, kann.
thx
onedread
-
das versteh ich jetzt nicht ganz. kann ich die acl für die vpns nicht einfach zu der acl hinzufügen die schon am interface gebunden ist. achja und welche interface muss ich das aufm inside oder aufm outside machen und muss ich dann zuerst die ip's der vpn clients oder die ip von den lan clients angeben?
irgendwie hab ich auch bei cisco für sowas noch nichts gefunden.
ciao onedread
-
HI
auf was für ein Interface soll ich bitte die ACL binden ich kann nur pro Interface eine ACL, bindne und die hab ich schon gebundne.
Also wenn ich nun eine ACL schreibe die den VPn Tunnel eine Zugriffsberechtigung gibt muss ich ich die dann ans inside oder outside tunnel binden?
Bzw. kann ich einfach der ACl die schon ans dementsprechnde Inside gebunden ist einfach mit der Regel adaptieren.
thx onedread
-
HI
d.h. also das die access-liste beim nat 0 statement den vpn clients die route gibt. der split-tunnel sagt dann welcher traffic wohin verschlüsselt wird und welcher nicht. und dann brauch ich also noch eine weitere ACL die sagt was die Clients aus den VPN's dürfen und was nicht? Wohin muss ich dann diese ACL binden? Oder muss diese ACL nur vorhanden sein.?
onedread
-
HI
ok das hast in der VPN_NO_NAT die an nat (inside) 0 VPN_NO_NAT gebunden wird, steht der Eintrag permit ip host 10.10.10.100 172.16.84.0 255.255.255.0
und dann leg ich noch eine ACL oder mach ich das mit der ACL die ich beim vpngroup split-tunnel mappe?
das ist eigentlich was ich nicht weiß
was macht eigentlich der Befhel split-tunnel beim vpngroup Befehl.
thx
onedread
-
Hi
Foglendes Problem ich hab einen neuen Tunnel für Mobile User angelegt. Die nur eine telnet session auf eine IP in unserem LAN ereichen sollen.
Ich kann mich auch anmelden das funktioniert ohne probleme
dann habe ich in die Access-liste VPN_NO_NAT permit tcp host 10.10.10.100 172.16.84.0 255.255.255.0 eq 23 hinzugefügt und mit nat (inside) 0 VPN_NO_NAT gebunden
weiters habe ich noch eine ACL VPN-PAL angelegt wo ich ebenfalls den oben angeführten befehl adaptiert habe.
das geht nicht
wenn ich aber bei entweder bei der VPN_NO_NAT oder VPN-PAL die permit ip host 10.10.10.100 172.16.84.0 255.255.255.0 hinzufüge kann ich es machen das will ich aber nicht ich will wirklich rein nur telnet und lpr durch den tunnel lassen was kann denn hier der Fehler sein bitte.
Im log ist gestanden wie nur die tcp acl gebunden waren
2007-03-28 17:50:30 Local7.Error 10.10.10.7 Mar 28 2007 17:38:51: %PIX-3-305005: No translation group found for tcp src outside:172.16.84.1/1645 dst daten:10.10.10.100/23
any ideas?
thx
onedread
-
HI
was macht das nat (inside) 0 access-liste
und was das vpngroup split-tunnel access-liste
bitte um hilfe habs einfach nicht gecheckt.
thx
onedread
-
HI
Danke mal für die Antworten.
Vielleicht habe ich vergessen zu sagen das es mehrere VPN'S für Softwareclients sein sollen und keine PIX to PIX VPN'S.
Aber wenn ich mir so die Konfigs durchsehe dann muss ich wohl für jeden Tunnel eine eigene Verschlüsselung machen, gilt das auch für VPN'S die über den Cisco VPN Client initiert werden auch?
thx
onedread
-
seas
Ich kann dir da leider nicht weiterhelfen aber vielleicht hilft dir dieser LINK
A-Z Products Index [Products & Services] - Cisco Systems
mfg
onedread
-
HI
Ich will nun mehrere VPNS auf einer PIX terminieren lassen, kann ich jetzt nur mit den Befehlen vpngroup Befehlen einen neuen einrichten plus Access-liste und das wars ode rmuss ich mit dem crypto Befehl auch noch für jeden weiteren VPN die Verschlüsselung anpassen oder kann ich für alle VPN's die Verschlüsslung nutzen die ich für den 1. VPN angelegt habe?
Wer das weiss bitte melden.
THX
onedread
-
HI
Meine neue Frage, wie kann ich die Antwortzeiten innerhalb des VPN'S verbessern habe immer so um die 1000ms Ping.
Kann ich da selbst was machen oder muss da der Provider was machen.
Vom gleichen Provider aus hab ich es noch nicht getest.
Habe Internet über Funk und greife entweder über Standleitung oder ADSL auf den VPN zu.
Glaubt ihr das es besser wird wenn ich die PIX auf den ADSL Anschluss lege?
thx
onedread
-
HI
also zu Hause funktioniert es, da ich derzeit noch 2 internetanschlüsse zu hause habe konnte ich es gestern erfolgreich testen.
nur in wenn ich es von meiner Firm aus mache kann ich mich zwar connecten doch leider hab ich keinen Zugriff auf die Rechner, aber ich glaube das liegt daran weil wir selber auch ein dmz netz in diesem Bereich haben.
so weiters würd ich nun gern als VPN User die pix via telnet oder ssh fernverwalten muss ich das nun auch noch in der access-l hinzufügen oder geht das über die befehle telnet und ssh weil da hab ich ja e noch 0.0.0.0 bei beiden drinnen stehen. geht abe rnicht.
das ist der debug output wenn ich von der Firma aus via VNC auf einen Client bei mir zu Hause zugreifen will
crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500
ISAKMP (0): processing NOTIFY payload 36136 protocol 1
spi 0, message ID = 3459027474
ISAMKP (0): received DPD_R_U_THERE from peer XXX
ISAKMP (0): sending NOTIFY message 36137 protocol 1
return status is IKMP_NO_ERR_NO_TRANS
crypto_isakmp_process_block:src:XXX, dest:10.0.10.150 spt:356 dpt:500
ISAKMP (0): processing NOTIFY payload 36136 protocol 1
spi 0, message ID = 659762811
ISAMKP (0): received DPD_R_U_THERE from peer XXX
ISAKMP (0): sending NOTIFY message 36137 protocol 1
any ideas?
-
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXX encrypted
passwd XXX encrypted
hostname pixfirewall
domain-name wellcom.at
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any
access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any
access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any
access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any
access-list acl-outside permit ip 192.168.2.0 255.255.255.0 any
access-list acl-inside permit tcp any host 192.168.1.50 eq 5900
access-list acl-inside permit tcp any host 192.168.2.2 eq 5900
access-list acl-inside permit tcp any host 192.168.2.2 eq 5901
access-list 101 permit ip 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list 101 permit icmp 192.168.2.0 255.255.255.0 192.168.4.0 255.255.255.0
pager lines 24
logging on
logging timestamp
logging buffered debugging
logging trap debugging
logging facility 23
logging host inside 192.168.1.50
mtu outside 1500
mtu inside 1500
ip address outside 10.0.10.150 255.255.0.0
ip address inside 192.168.2.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn1 192.168.4.1-192.168.4.20
pdm location 192.168.1.50 255.255.255.255 inside
pdm location 192.168.1.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 192.168.2.2 5901 192.168.2.2 5900 netmask 255.255.255.255 0 0
access-group acl-inside in interface outside
access-group acl-outside in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.10.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.50 255.255.255.255 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map maymap 10 ipsec-isakmp dynamic dynmap
crypto map maymap interface outside
isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup vpn1 address-pool vpn1
vpngroup vpn1 default-domain wellcom.at
vpngroup vpn1 split-tunnel 101
vpngroup vpn1 idle-time 1800
vpngroup vpn1 password ********
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 30
console timeout 0
username onedread password XXX encrypted privilege 2
terminal width 80
thx 4 help
onedread
-
HI
so hier mal die aktulle konfig
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXX encrypted
passwd XXX encrypted
hostname pixfirewall
domain-name wellcom.at
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list acl-outside permit ip 192.168.1.0 255.255.255.0 any
access-list acl-outside permit tcp 192.168.1.0 255.255.255.0 any
access-list acl-outside permit udp 192.168.1.0 255.255.255.0 any
access-list acl-outside permit icmp 192.168.1.0 255.255.255.0 any
access-list acl-inside permit tcp any host 192.168.1.50 eq 5900
access-list 80 permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0
access-list 100 permit tcp 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 5900
pager lines 24
logging on
logging timestamp
logging trap debugging
logging facility 23
logging host inside 192.168.1.50
mtu outside 1500
mtu inside 1500
ip address outside 10.0.10.150 255.255.0.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpn1 192.168.4.1-192.168.4.20
pdm location 192.168.1.50 255.255.255.255 inside
pdm location 192.168.1.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 80
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 192.168.1.50 5900 192.168.1.50 5900 netmask 255.255.255.255 0 0
access-group acl-inside in interface outside
access-group acl-outside in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.10.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.50 255.255.255.255 inside
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
crypto dynamic-map cisco 4 set transform-set strong-des
crypto map partner-map 20 ipsec-isakmp dynamic cisco
crypto map partner-map interface outside
isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash md5
isakmp policy 8 group 1
isakmp policy 8 lifetime 86400
vpngroup vpn1 address-pool vpn1
vpngroup vpn1 dns-server 192.168.1.1
vpngroup vpn1 default-domain wellcom.at
vpngroup vpn1 split-tunnel 80
vpngroup vpn1 idle-time 1800
vpngroup vpn1 password ********
vpngroup von1 idle-time 1800
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 30
console timeout 0
username onedread password XXX encrypted privilege 2
terminal width 80
AP1231BG Bootproblem
in Cisco Forum — Allgemein
Geschrieben
HI
Habe heute mit dem archive-download befehl das neueste image geladen doch nach dem neustart blinkt nach einiger Zeit das untere Led immer nur Rot und auf der Console übers Consolekabel steht dann nur mehr System-Restarting.
Frage.
Wie kann ich den Bootvorgang unterbrechen damit ich das Image neu flashn kann.
mfG
onedread