m@rtin

also mein server is verrückt ... denn da ist definitiv nichts was so heißt im Startmenü. über einen Umweg der Windows-Hilfe hab ichs nun mal geöffnet und gecaptured. Falls jemand ebenfalls noch dieses Problem mit der Installation und keinem Startmenü-Eintrag haben sollte: Die Software läßt sich hier finden: "C:\WINDOWS\system32\netmon\netmon.exe" Positiv: das Format vom M$-Tool ist kompatibel mit dem Wireshark. Erfreulich: Es gingen dauernd irgendwelche DNS-Requests zwischen Router und Server hin und her, nicht irgendwelche Daten nach Extern :) hätte mich auch persönlich sehr fertig gemacht ... Vielen Dank den Tipp mit dem Netmon Götz ! Habe wieder was fürs Leben gelernt :)

auf die Gefahr hin nun total ****e zu wirken: wo sollte der Netzwerkmonitor nach der nachträglichen Installation auftauchen ??? ich such grad das ganze Startmenü hoch und runter, aber nada

welchen Netzwerkmonitor meinst Du genau ? Im MMC hab ich kein passendes SnapIn, sonst habe ich auch nichts dergleichen gefunden, und Wireshark (ehemals Ethereal) auf einem Produktivserver installieren möchte ich eigentlich nicht :(

Hallo zusammen, mein SBS 2003 (kein R2) schickt seit geraumer Zeit permanent 0,5% Traffic der gesamten verfügbaren Bandbreite der Netzwerkverbindung Richtung Router. Leider macht mein Switch kein Port-Mirroring, sodass ich nicht wirklich feststellen kann, was der Server da durch die Gegend schickt ... es ist jedenfalls ungut, und gefällt mir irgendwie auch nicht :( Kennt jemand von Euch ein Tool mit dem man ALLE Netzwerkverbindungen anzeigen kann, und auch die Gegenstelle sieht ? netstat zeigts mir nicht an, genauso wenig wie das Ding von Sysinternals (Name weiß ich grad net genau, ich glaub TCPview oder so ...) Wüßte jemand sonst noch eine Variante dem mysteriösen Traffic auf die Spur zu kommen ? Vielen Dank schonmal :) Martin

ja, ich will die Daten vom 192.168.100.0 Netz schicken, da kein Routingeintrag vom Standardgateway des Netzes zum Cisco VPN-Server möglich ist. Daher brauche ich das selbe flache Subnetz auch im VPN. Der Cisco VPN-Client wird für die Einwahl verwendet (sorry, dachte ich hätte es im letzten Post geschrieben, hab es aber nur gedacht), und bekommt auch eine IP-Adresse aus dem lokalen Pool 192.168.100.60-70 zugewiesen. Die Subnetzmaske 255.255.255.0 paßt auch, DNS und WINS stellt er auch brav wie in angegeben ein, nur der Standardgateway macht mir zu Schaffen. Was im ARP-Cache steht, kann ich gerade nicht nachvollziehen, da ich nicht im Büro bin. Ich checke das aber mal.

Guten Morgen :) 1. würde ich gerne wissen, ob die Grundconfig sinnvoll und sicher ist 2. mit der aktuellen (obigen) Config hat der Router eine public IP, kann www-Hosts pingen, und ist von extern erreichbar. 3. ein easyVPN-Server soll aufgesetzt werden, der folgendes tut: - IP-Adresse im Raum 192.168.100.60-70 vergeben - Subnetzmaske: 255.255.255.0 - Standardgateway: 192.168.100.1 (!= Cisco-Router) - DNS-Server 192.168.100.2 - WINS-Server 192.168.100.3 - DNS-Domäne "domäne.local" - Traffic der Clients transparent ins Netzwerk geben, und Traffic für die Clients aufnehmen und zurückliefern Der nun versorgte Client soll über den Standard-Gateway ins Internet, soll über den DNS-Server im Büro, soll sich verhalten als wäre er direkt am Büro-Switch gepatcht. ==> alle Daten sollen über den Tunnel, keine andere Kommunikation soll erlaubt sein. Das ist die Zielsetzung. Die Realität sieht anders aus: ich konfiguriere den easyVPN-Server, alles läuft gut, aber in dem Moment wo der Tunnel steht, und ich Daten über ihn schicken will, kommt nichts durch. Toll. Ich vermute, irgendeine Accessliste blockiert, oder sonst irgendwas. Ich kann es nicht eingrenzen und hab auch noch nicht so viel Ahnung wie ich Fehlersuche betreiben kann. Martin

! interface Dot11Radio0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow shutdown speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Vlan1 description $FW_INSIDE$ ip address 192.168.0.1 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow ! ip route 0.0.0.0 0.0.0.0 <<Gateway des Providers>> ! ip http server ip http access-class 1 ip http secure-server ! logging trap debugging logging 192.168.0.2 access-list 1 remark HTTP Access-class list access-list 1 remark SDM_ACL Category=1 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 deny any access-list 100 remark auto generated by SDM firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.108 access-list 100 permit udp host 192.53.103.108 eq ntp host 192.168.0.110 eq ntp access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.104 access-list 100 permit udp host 192.53.103.104 eq ntp host 192.168.0.110 eq ntp access-list 100 deny ip <<mein Public IP-Range beim Provider>> any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by SDM firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.108 access-list 101 permit udp host 192.53.103.108 eq ntp host <<Public IP des Routers>> eq ntp access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.104 access-list 101 permit udp host 192.53.103.104 eq ntp host <<Public IP des Routers>> eq ntp access-list 101 deny ip 192.168.0.0 0.0.0.255 any access-list 101 permit icmp any host <<Public IP des Routers>> echo-reply access-list 101 permit icmp any host <<Public IP des Routers>> time-exceeded access-list 101 permit icmp any host <<Public IP des Routers>> unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any log access-list 102 remark VTY Access-class list access-list 102 remark SDM_ACL Category=1 access-list 102 permit ip 192.168.0.0 0.0.0.255 any access-list 102 deny ip any any no cdp run ! ! ! control-plane ! banner login ^CC--- router ---^C ! line con 0 no modem enable transport output telnet line aux 0 transport output telnet line vty 0 4 access-class 102 in transport input telnet ssh transport output telnet ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 ntp clock-period 17175083 ntp server 192.53.103.108 source FastEthernet4 prefer ntp server 192.53.103.104 source FastEthernet4 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname router ! boot-start-marker boot-end-marker ! logging buffered 32768 debugging enable secret 5 <<secret>> ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common ! resource policy ! clock timezone PCTime 1 no ip source-route ip cef ! ! ip inspect log drop-pkt ip inspect name SDM_HIGH appfw SDM_HIGH ip inspect name SDM_HIGH icmp ip inspect name SDM_HIGH dns ip inspect name SDM_HIGH esmtp ip inspect name SDM_HIGH https ip inspect name SDM_HIGH imap reset ip inspect name SDM_HIGH pop3 reset ip inspect name SDM_HIGH tcp ip inspect name SDM_HIGH udp ip tcp synwait-time 10 no ip bootp server ip domain name <<domain>> ip name-server 192.168.0.2 ! appfw policy-name SDM_HIGH application im aol service default action reset alarm service text-chat action reset alarm server deny name login.oscar.aol.com server deny name toc.oscar.aol.com server deny name oam-d09a.blue.aol.com audit-trail on application im msn service default action reset alarm service text-chat action reset alarm server deny name messenger.hotmail.com server deny name gateway.messenger.hotmail.com server deny name webmessenger.msn.com audit-trail on application http strict-http action reset alarm port-misuse im action reset alarm port-misuse p2p action reset alarm port-misuse tunneling action reset alarm application im yahoo service default action reset alarm service text-chat action reset alarm server deny name scs.msg.yahoo.com server deny name scsa.msg.yahoo.com server deny name scsb.msg.yahoo.com server deny name scsc.msg.yahoo.com server deny name scsd.msg.yahoo.com server deny name cs16.msg.dcn.yahoo.com server deny name cs19.msg.dcn.yahoo.com server deny name cs42.msg.dcn.yahoo.com server deny name cs53.msg.dcn.yahoo.com server deny name cs54.msg.dcn.yahoo.com server deny name ads1.vip.scd.yahoo.com server deny name radio1.launch.vip.dal.yahoo.com server deny name in1.msg.vip.re2.yahoo.com server deny name data1.my.vip.sc5.yahoo.com server deny name address1.pim.vip.mud.yahoo.com server deny name edit.messenger.yahoo.com server deny name messenger.yahoo.com server deny name http.pager.yahoo.com server deny name privacy.yahoo.com server deny name csa.yahoo.com server deny name csb.yahoo.com server deny name csc.yahoo.com audit-trail on ! ! crypto pki trustpoint TP-self-signed-1161201786 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1161201786 revocation-check none rsakeypair TP-self-signed-1161201786 ! ! crypto pki certificate chain TP-self-signed-1161201786 certificate self-signed 01 <<certificate>> quit ! username admin privilege 15 secret 5 <<secret>> ! ! interface Null0 no ip unreachables ! interface FastEthernet0 ! interface zum lokalen LAN ! interface FastEthernet1 shutdown ! interface FastEthernet2 shutdown ! interface FastEthernet3 shutdown ! interface FastEthernet4 description $ETH-LAN$$FW_OUTSIDE$ ip address << fixe IP des Providers ip access-group 101 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip inspect SDM_HIGH out ip route-cache flow shutdown duplex auto speed auto

Hallo alle miteinander ! ich habe nun die letzten 2 Monate probiert ein VPN ins Büro bei uns einzurichten. Jedesmal entweder mit dem Erfolg dass ich mir selbst irgendwo in der config ein Bein gestellt habe, oder dass es nicht sicher war. Aber dass es sicher ist, und gleichzeitig funktioniert, das habe ich nicht hinbekommen :( jaja, irgendwann hat mir noch irgend so nen Exploit mein IOS abgeschossen (glaub ich, logs gabs dann keine mehr). Der Cisco hat nur den Sinn, VPN Server zu spielen. Sonst ist er Infrastrukturtechnisch nicht von Bedeutung und soll keinen anderen Traffic transportieren. Für die Anbindung ans Internet existiert eien eigene mit anderer public IP-Adresse. Zielsetzung ist es, den Begriff VPN wörtlich zu nehmen. Ich möchte, dass der Client wirklich denkt, er wäre im Büro. Das heißt, er soll meinen er hätte nur dieses eine "Kabel" angesteckt. Jeder Traffic soll übers VPN (Folge: die gesamte Palette an Settings wie IP, Subnetmask, Standard-Gateway, DNS und WINS soll konfigurierbar sein, sodass er auch über die Büro-Firewall ins Internet geht, nicht über den direkten Weg am VPN-Tunnel vorbei). Klingt einfach, isses vielleicht auch, für mich aber irgendwo noch nicht. Vorab möchte ich mal die aktuelle Config (ohne das VPN-Gedöns drin) zur Debatte stellen. Die Grundconfig ist per hand geschrieben, das SDM hat noch ein Security Audit gemacht. Der Router selbst ist ein 871W mit IOS 12.4.6T < config im nächsten Post > Step 2 wäre dann, in die vorgenommene Grundconfig das VPN-Zeug einzubauen. Aber erstmal nen stabilen Grundstock schaffen, oder ? Vorab schon ein herzliches Dankeschön an alle Mitwirkenden :) Martin

Der Link war gut, danke :) Der Server arbeitet wieder. Allerdings kann ich es auch nicht so ganz erklären. Hoffen wir mal, dass der Status nun unverändert bei "running" bleibt.

ich flieg gleich raus, bekomm keinen stabilen connect zum Server ... mal schauen ob der m$ link was helfen wird. Danke

nein, das ist gerade das komische ... es steht nach dem Bootup die normale Meldung drin, dass der Imap gestartet wurde und läuft. Fertig, sonst kommt nixmehr

Hallo zusammen, ich habe ein dickes dickes Problem: Gestern Abend habe ich meinen Exchange kurz heruntergefahren (das Ding läuft in einer VMWare, ich habe am Host-System einen Lüfter tauschen müssen). Nach dem Neustart sah zuerst eigentlich alles gut aus, aber der IMAP-Dienst spinnt :( jedesmal wenn ich von OE auf den Imap will, bekomme ich ein "Connection Refused" mit dem "Error Code: 800cccd9". Der Exchange-Dienst ist scheinbar gestartet, wird in einem für den Server normalen Zeitraum beendet (wenn ich dies anfordere), braucht aber ewig zum Starten und wird denke ich nicht fehlerfrei gestartet. Der Benutzer verfügt über das Recht IMAP tun zu dürfen, geändert an der Serverconfig habe ich nichts ... Hat jemand eine Idee woran das liegen könnte und was man dagegen tun kann ????? Viele Grüße, Martin

Der TS ist ein Windows 2003 Standard Server. Ich werde mir die Gruppenrichtlinie und die TS-Config im beschriebenen Pfad anschauen. Vielen Dank soweit :)

Das Problem ist folgendes: die Anmeldung am Server ist ein notwendiges und in unserem Fall lästiges Übel. Die Benutzer melden sich nicht mit ihrem eigenen AD-User an, sondern mit einem gesonderten Benutzer, der dem PC zugeordnet wurde. Warum ? Der Einfachheit für die Benutzer halber. Welche Verbindungsdatei würdest Du in das Profil speichern ??? Ich habe eine Terminalserver.RDP Datei mit Zugriffsrechte für "Jeder" in dem All-User Desktop Ordner liegen, aber wenn jemand das Ding öffnen will, fehlt einfach das Login-Passwort. Und das nervt ein wenig ;)

ich habe folgendes Problem mit dem Microsoft Client: Unser Terminalserver hat computergebundene Konten. Ich hinterlege auf jedem PC eine RDP-Datei (man kann ja im M$ Client auch Username, Passwort und Domäne hinterlegen und die Verbindung speichern), die jeder User auf dem Rechner nutzen soll. Aber: andere Benutzer können diese Verbindungs-Datei nicht verwenden, das Passwort wird einfach nicht mit gespeichert. Nun will ich gerne einen Client einsetzen, aufdem ich Username und Passwort für alle User eines PC's verbindlich festlegen kann. Das ist das ganze Geheimnis. Citrix kenne ich. Jedoch kostet Citrix recht viel, weshalb es eigentlich ausscheidet. Martin

Hallo zusammen, ich suche Alternativen zur Microsoft Remote Desktopverbindung. Gibt es andere Clients, mit denen ich zum Windows Terminalserver komme ??? Entweder ich bin zu ****, oder ich finde keine andere Windows-Software als die Microsoft-eigene ... Kann mir jemand helfen ? Martin

merkt man irgendwo her dass ich heute früh zu lang wach war ??? das sollten ursprünglich 2 Threads werden, aber vor Überbüdung hab ich wohl die Knöpfe verwechselt. Mist ! Naja, dann handeln wir halt beides hies ab :D Den Best Practices Analyser lade ich gerade runter und schau ihn mir mal an. Danke für den Tipp ! Es sind bei den Usern weder Regeln, noch Weiterleitungen oder Vertretungen aktiv :(. Es wird auch nicht jede Mail duppliziert, lediglich Mails untereinander und bisher zu einem bekannten externen Empfänger (und wiegesagt nicht alle Mails) - es ist kein Muster erkennbar.

noch eine Kurriosität, die mit diesem Logfile-Geschieß zusammenhängt ... (und ich zu **** war einen neuen Thread aufzumachen) ich habe folgende Kurriosität zu bieten: 2 meiner User verschicken öfters Mails (noch nicht kurrios). Jedoch kommen manche Mails als Dublette aus dem System ... Sprich: eine Mail wird von User A an User B (oder auch Externe SMTP-User) verschickt, und kommt doppelt an. Allerdings ist das Problem so wies scheint auf 2 User beschränkt, nicht auf den ganzen Server. Hat jemand eine Idee, woher das kommen könnte ???

Hallo Zusammen, ich suche ein Tool, mitdem man die Exchange Logfiles etwas schöner aufbereitet betrachten kann, und vielleicht sogar ein wenig Selektiermöglichkeiten bietet ?? Gibts da was ??? Martin

argh, wo kommt denn das no ip routing her :( ... ****** SDM ! die config ist spartanisch, das gebe ich zu. aber nachdem ich von hand bisher gescheitert bin, dachte ich, nehm ich doch mal den sdm weg, und hoffe dass der mir was konfiguriert, was stimmen wird. pvc 1/32 stimmt in meinem fall bei arcor. das hat mich lange gebraucht rauszufinden, aber mit der settig geht es nachweislich an meinem port. (was aber auch nicht arcor einheitlich sein muss, was ich auch gelernt habe) dankeschön :), ich probier die setting sobald ich daheim bin. sonst bin ich natürlich für config-tipps und don't-do's immer offen :) martin

kein Problem: Current configuration : 3693 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! no logging buffered enable secret << gesetzt >> ! no aaa new-model ! resource policy ! no ip routing no ip cef ! ip name-server 145.253.2.11 ip name-server 145.253.2.75 ! ! interface BRI0 no ip address encapsulation hdlc no ip route-cache shutdown ! interface ATM0 no ip address no ip route-cache no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point no ip route-cache no snmp trap link-status pvc 1/32 oam-pvc manage pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 ! interface FastEthernet1 shutdown ! interface FastEthernet2 shutdown ! interface FastEthernet3 shutdown ! interface Dot11Radio0 no ip address no ip route-cache shutdown speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Vlan1 ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ip tcp adjust-mss 1412 ! interface Dialer0 ip address negotiated ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin ppp chap hostname << username >> ppp chap password 0 << passwort >> ppp pap sent-username << username >> password 0 << passwort >> ! ip route 0.0.0.0 0.0.0.0 Dialer0 ! ip http server ip http secure-server ip nat inside source list 1 interface Dialer0 overload ! access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 dialer-list 1 protocol ip permit ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 password << gesetzt >> login ! scheduler max-task-time 5000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end

ip route 0.0.0.0 0.0.0.0 Dialer0 ip name-server 145.253.2.11 ip name-server 145.253.2.75 das ist der fragliche Config-Auszug ... sollte also eigentlich alles soweit grün sein, oder ?

Hallo, ich versuche seit einiger Zeit meine Aror-DSL Leitung auf dem Cisco 876W zum laufen zu bringen ... Beim Verbindungstest bekomme ich aber permanent diese Fehlermeldung: "Routing ist für keine(n) konfigurierten DNS-Server durch die ausgewählte Schnittstelle möglich.", und folgendem Lösungsvorschlag: " Wählen Sie die Option "Geben Sie eine IP-Adresse oder einen Hostnamen ein", oder fügen Sie eine "hostspezifische/netzwerkspezifische/Standard"-Route ein, und testen Sie die Verbindung erneut." Kann mir jemand sagen was der Router mir damit sagen will ??? Außer den DNS-Servern von Arcor, habe ich nur das PPPoE mit dem SDM konfiguriert. Ist eine explizite Config nötig ? Martin

nee, mit dem reskit hab ichs noch nicht probiert. was ist denn noch gleich ne mst-datei ? ich steht grad ein wenig auf dem schlacht ;)