m@rtin

also mein server is verrückt ... denn da ist definitiv nichts was so heißt im Startmenü.

über einen Umweg der Windows-Hilfe hab ichs nun mal geöffnet und gecaptured.

Falls jemand ebenfalls noch dieses Problem mit der Installation und keinem Startmenü-Eintrag haben sollte: Die Software läßt sich hier finden: "C:\WINDOWS\system32\netmon\netmon.exe"

Positiv: das Format vom M$-Tool ist kompatibel mit dem Wireshark.

Erfreulich: Es gingen dauernd irgendwelche DNS-Requests zwischen Router und Server hin und her, nicht irgendwelche Daten nach Extern :) hätte mich auch persönlich sehr fertig gemacht ...

Vielen Dank den Tipp mit dem Netmon Götz ! Habe wieder was fürs Leben gelernt :)

auf die Gefahr hin nun total ****e zu wirken: wo sollte der Netzwerkmonitor nach der nachträglichen Installation auftauchen ??? ich such grad das ganze Startmenü hoch und runter, aber nada

welchen Netzwerkmonitor meinst Du genau ? Im MMC hab ich kein passendes SnapIn, sonst habe ich auch nichts dergleichen gefunden, und Wireshark (ehemals Ethereal) auf einem Produktivserver installieren möchte ich eigentlich nicht :(

Hallo zusammen,

mein SBS 2003 (kein R2) schickt seit geraumer Zeit permanent 0,5% Traffic der gesamten verfügbaren Bandbreite der Netzwerkverbindung Richtung Router.

Leider macht mein Switch kein Port-Mirroring, sodass ich nicht wirklich feststellen kann, was der Server da durch die Gegend schickt ... es ist jedenfalls ungut, und gefällt mir irgendwie auch nicht :(

Kennt jemand von Euch ein Tool mit dem man ALLE Netzwerkverbindungen anzeigen kann, und auch die Gegenstelle sieht ? netstat zeigts mir nicht an, genauso wenig wie das Ding von Sysinternals (Name weiß ich grad net genau, ich glaub TCPview oder so ...)

Wüßte jemand sonst noch eine Variante dem mysteriösen Traffic auf die Spur zu kommen ?

Vielen Dank schonmal :)

Martin

ja, ich will die Daten vom 192.168.100.0 Netz schicken, da kein Routingeintrag vom Standardgateway des Netzes zum Cisco VPN-Server möglich ist. Daher brauche ich das selbe flache Subnetz auch im VPN.

Der Cisco VPN-Client wird für die Einwahl verwendet (sorry, dachte ich hätte es im letzten Post geschrieben, hab es aber nur gedacht), und bekommt auch eine IP-Adresse aus dem lokalen Pool 192.168.100.60-70 zugewiesen. Die Subnetzmaske 255.255.255.0 paßt auch, DNS und WINS stellt er auch brav wie in angegeben ein, nur der Standardgateway macht mir zu Schaffen.

Was im ARP-Cache steht, kann ich gerade nicht nachvollziehen, da ich nicht im Büro bin. Ich checke das aber mal.

Guten Morgen :)

1. würde ich gerne wissen, ob die Grundconfig sinnvoll und sicher ist

2. mit der aktuellen (obigen) Config hat der Router eine public IP, kann www-Hosts pingen, und ist von extern erreichbar.

3. ein easyVPN-Server soll aufgesetzt werden, der folgendes tut:

- IP-Adresse im Raum 192.168.100.60-70 vergeben

- Subnetzmaske: 255.255.255.0

- Standardgateway: 192.168.100.1 (!= Cisco-Router)

- DNS-Server 192.168.100.2

- WINS-Server 192.168.100.3

- DNS-Domäne "domäne.local"

- Traffic der Clients transparent ins Netzwerk geben, und Traffic für die Clients aufnehmen und zurückliefern

Der nun versorgte Client soll über den Standard-Gateway ins Internet, soll über den DNS-Server im Büro, soll sich verhalten als wäre er direkt am Büro-Switch gepatcht.

==> alle Daten sollen über den Tunnel, keine andere Kommunikation soll erlaubt sein.

Das ist die Zielsetzung.

Die Realität sieht anders aus:

ich konfiguriere den easyVPN-Server, alles läuft gut, aber in dem Moment wo der Tunnel steht, und ich Daten über ihn schicken will, kommt nichts durch. Toll. Ich vermute, irgendeine Accessliste blockiert, oder sonst irgendwas. Ich kann es nicht eingrenzen und hab auch noch nicht so viel Ahnung wie ich Fehlersuche betreiben kann.

Martin

!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
!
ip route 0.0.0.0 0.0.0.0 <<Gateway des Providers>>
!
ip http server
ip http access-class 1
ip http secure-server
!
logging trap debugging
logging 192.168.0.2
access-list 1 remark HTTP Access-class list
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 deny   any
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.108
access-list 100 permit udp host 192.53.103.108 eq ntp host 192.168.0.110 eq ntp
access-list 100 remark Auto generated by SDM for NTP (123) 192.53.103.104
access-list 100 permit udp host 192.53.103.104 eq ntp host 192.168.0.110 eq ntp
access-list 100 deny   ip <<mein Public IP-Range beim Provider>> any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.108
access-list 101 permit udp host 192.53.103.108 eq ntp host <<Public IP des Routers>> eq ntp
access-list 101 remark Auto generated by SDM for NTP (123) 192.53.103.104
access-list 101 permit udp host 192.53.103.104 eq ntp host <<Public IP des Routers>> eq ntp
access-list 101 deny   ip 192.168.0.0 0.0.0.255 any
access-list 101 permit icmp any host <<Public IP des Routers>> echo-reply
access-list 101 permit icmp any host <<Public IP des Routers>> time-exceeded
access-list 101 permit icmp any host <<Public IP des Routers>> unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip any any log
access-list 102 remark VTY Access-class list
access-list 102 remark SDM_ACL Category=1
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 deny   ip any any
no cdp run
!
!
!
control-plane
!
banner login ^CC--- router ---^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 102 in
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17175083
ntp server 192.53.103.108 source FastEthernet4 prefer
ntp server 192.53.103.104 source FastEthernet4
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 32768 debugging
enable secret 5 <<secret>>
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local 
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
no ip source-route
ip cef
!
!
ip inspect log drop-pkt
ip inspect name SDM_HIGH appfw SDM_HIGH
ip inspect name SDM_HIGH icmp
ip inspect name SDM_HIGH dns
ip inspect name SDM_HIGH esmtp
ip inspect name SDM_HIGH https
ip inspect name SDM_HIGH imap reset
ip inspect name SDM_HIGH pop3 reset
ip inspect name SDM_HIGH tcp
ip inspect name SDM_HIGH udp
ip tcp synwait-time 10
no ip bootp server
ip domain name <<domain>>
ip name-server 192.168.0.2
!
appfw policy-name SDM_HIGH
 application im aol
   service default action reset alarm
   service text-chat action reset alarm
   server deny name login.oscar.aol.com
   server deny name toc.oscar.aol.com
   server deny name oam-d09a.blue.aol.com
   audit-trail on
 application im msn
   service default action reset alarm
   service text-chat action reset alarm
   server deny name messenger.hotmail.com
   server deny name gateway.messenger.hotmail.com
   server deny name webmessenger.msn.com
   audit-trail on
 application http
   strict-http action reset alarm
   port-misuse im action reset alarm
   port-misuse p2p action reset alarm
   port-misuse tunneling action reset alarm
 application im yahoo
   service default action reset alarm
   service text-chat action reset alarm
   server deny name scs.msg.yahoo.com
   server deny name scsa.msg.yahoo.com
   server deny name scsb.msg.yahoo.com
   server deny name scsc.msg.yahoo.com
   server deny name scsd.msg.yahoo.com
   server deny name cs16.msg.dcn.yahoo.com
   server deny name cs19.msg.dcn.yahoo.com
   server deny name cs42.msg.dcn.yahoo.com
   server deny name cs53.msg.dcn.yahoo.com
   server deny name cs54.msg.dcn.yahoo.com
   server deny name ads1.vip.scd.yahoo.com
   server deny name radio1.launch.vip.dal.yahoo.com
   server deny name in1.msg.vip.re2.yahoo.com
   server deny name data1.my.vip.sc5.yahoo.com
   server deny name address1.pim.vip.mud.yahoo.com
   server deny name edit.messenger.yahoo.com
   server deny name messenger.yahoo.com
   server deny name http.pager.yahoo.com
   server deny name privacy.yahoo.com
   server deny name csa.yahoo.com
   server deny name csb.yahoo.com
   server deny name csc.yahoo.com
   audit-trail on
!
!
crypto pki trustpoint TP-self-signed-1161201786
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1161201786
revocation-check none
rsakeypair TP-self-signed-1161201786
!
!
crypto pki certificate chain TP-self-signed-1161201786
certificate self-signed 01
 <<certificate>>
 quit
!
username admin privilege 15 secret 5 <<secret>>
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
! interface zum lokalen LAN
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description $ETH-LAN$$FW_OUTSIDE$
ip address << fixe IP des Providers
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_HIGH out
ip route-cache flow
shutdown
duplex auto
speed auto

Hallo alle miteinander !

ich habe nun die letzten 2 Monate probiert ein VPN ins Büro bei uns einzurichten. Jedesmal entweder mit dem Erfolg dass ich mir selbst irgendwo in der config ein Bein gestellt habe, oder dass es nicht sicher war.

Aber dass es sicher ist, und gleichzeitig funktioniert, das habe ich nicht hinbekommen :(

jaja, irgendwann hat mir noch irgend so nen Exploit mein IOS abgeschossen (glaub ich, logs gabs dann keine mehr).

Der Cisco hat nur den Sinn, VPN Server zu spielen. Sonst ist er Infrastrukturtechnisch nicht von Bedeutung und soll keinen anderen Traffic transportieren. Für die Anbindung ans Internet existiert eien eigene mit anderer public IP-Adresse.

Zielsetzung ist es, den Begriff VPN wörtlich zu nehmen. Ich möchte, dass der Client wirklich denkt, er wäre im Büro. Das heißt, er soll meinen er hätte nur dieses eine "Kabel" angesteckt. Jeder Traffic soll übers VPN (Folge: die gesamte Palette an Settings wie IP, Subnetmask, Standard-Gateway, DNS und WINS soll konfigurierbar sein, sodass er auch über die Büro-Firewall ins Internet geht, nicht über den direkten Weg am VPN-Tunnel vorbei).

Klingt einfach, isses vielleicht auch, für mich aber irgendwo noch nicht.

Vorab möchte ich mal die aktuelle Config (ohne das VPN-Gedöns drin) zur Debatte stellen. Die Grundconfig ist per hand geschrieben, das SDM hat noch ein Security Audit gemacht. Der Router selbst ist ein 871W mit IOS 12.4.6T

< config im nächsten Post >

Step 2 wäre dann, in die vorgenommene Grundconfig das VPN-Zeug einzubauen. Aber erstmal nen stabilen Grundstock schaffen, oder ?

Vorab schon ein herzliches Dankeschön an alle Mitwirkenden :)

Martin

Der Link war gut, danke :)

Der Server arbeitet wieder. Allerdings kann ich es auch nicht so ganz erklären. Hoffen wir mal, dass der Status nun unverändert bei "running" bleibt.

ich flieg gleich raus, bekomm keinen stabilen connect zum Server ...

mal schauen ob der m$ link was helfen wird.

Danke

nein, das ist gerade das komische ...

es steht nach dem Bootup die normale Meldung drin, dass der Imap gestartet wurde und läuft. Fertig, sonst kommt nixmehr

Hallo zusammen,

ich habe ein dickes dickes Problem:

Gestern Abend habe ich meinen Exchange kurz heruntergefahren (das Ding läuft in einer VMWare, ich habe am Host-System einen Lüfter tauschen müssen). Nach dem Neustart sah zuerst eigentlich alles gut aus, aber der IMAP-Dienst spinnt :(

jedesmal wenn ich von OE auf den Imap will, bekomme ich ein "Connection Refused" mit dem "Error Code: 800cccd9". Der Exchange-Dienst ist scheinbar gestartet, wird in einem für den Server normalen Zeitraum beendet (wenn ich dies anfordere), braucht aber ewig zum Starten und wird denke ich nicht fehlerfrei gestartet.

Der Benutzer verfügt über das Recht IMAP tun zu dürfen, geändert an der Serverconfig habe ich nichts ...

Hat jemand eine Idee woran das liegen könnte und was man dagegen tun kann ?????

Viele Grüße, Martin

Der TS ist ein Windows 2003 Standard Server.

Ich werde mir die Gruppenrichtlinie und die TS-Config im beschriebenen Pfad anschauen. Vielen Dank soweit :)

Das Problem ist folgendes:

die Anmeldung am Server ist ein notwendiges und in unserem Fall lästiges Übel.

Die Benutzer melden sich nicht mit ihrem eigenen AD-User an, sondern mit einem gesonderten Benutzer, der dem PC zugeordnet wurde. Warum ? Der Einfachheit für die Benutzer halber.

Welche Verbindungsdatei würdest Du in das Profil speichern ???

Ich habe eine Terminalserver.RDP Datei mit Zugriffsrechte für "Jeder" in dem All-User Desktop Ordner liegen, aber wenn jemand das Ding öffnen will, fehlt einfach das Login-Passwort. Und das nervt ein wenig ;)

ich habe folgendes Problem mit dem Microsoft Client:

Unser Terminalserver hat computergebundene Konten. Ich hinterlege auf jedem PC eine RDP-Datei (man kann ja im M$ Client auch Username, Passwort und Domäne hinterlegen und die Verbindung speichern), die jeder User auf dem Rechner nutzen soll.

Aber: andere Benutzer können diese Verbindungs-Datei nicht verwenden, das Passwort wird einfach nicht mit gespeichert.

Nun will ich gerne einen Client einsetzen, aufdem ich Username und Passwort für alle User eines PC's verbindlich festlegen kann. Das ist das ganze Geheimnis.

Citrix kenne ich. Jedoch kostet Citrix recht viel, weshalb es eigentlich ausscheidet.

Martin

Hallo zusammen,

ich suche Alternativen zur Microsoft Remote Desktopverbindung.

Gibt es andere Clients, mit denen ich zum Windows Terminalserver komme ???

Entweder ich bin zu ****, oder ich finde keine andere Windows-Software als die Microsoft-eigene ...

Kann mir jemand helfen ?

Martin

merkt man irgendwo her dass ich heute früh zu lang wach war ??? das sollten ursprünglich 2 Threads werden, aber vor Überbüdung hab ich wohl die Knöpfe verwechselt. Mist !

Naja, dann handeln wir halt beides hies ab :D

Den Best Practices Analyser lade ich gerade runter und schau ihn mir mal an. Danke für den Tipp !

Es sind bei den Usern weder Regeln, noch Weiterleitungen oder Vertretungen aktiv :(. Es wird auch nicht jede Mail duppliziert, lediglich Mails untereinander und bisher zu einem bekannten externen Empfänger (und wiegesagt nicht alle Mails) - es ist kein Muster erkennbar.

noch eine Kurriosität, die mit diesem Logfile-Geschieß zusammenhängt ... (und ich zu **** war einen neuen Thread aufzumachen)

ich habe folgende Kurriosität zu bieten: 2 meiner User verschicken öfters Mails (noch nicht kurrios). Jedoch kommen manche Mails als Dublette aus dem System ...

Sprich: eine Mail wird von User A an User B (oder auch Externe SMTP-User) verschickt, und kommt doppelt an.

Allerdings ist das Problem so wies scheint auf 2 User beschränkt, nicht auf den ganzen Server.

Hat jemand eine Idee, woher das kommen könnte ???

Hallo Zusammen,

ich suche ein Tool, mitdem man die Exchange Logfiles etwas schöner aufbereitet betrachten kann, und vielleicht sogar ein wenig Selektiermöglichkeiten bietet ??

Gibts da was ???

Martin

argh, wo kommt denn das no ip routing her :( ... ****** SDM !

die config ist spartanisch, das gebe ich zu. aber nachdem ich von hand bisher gescheitert bin, dachte ich, nehm ich doch mal den sdm weg, und hoffe dass der mir was konfiguriert, was stimmen wird.

pvc 1/32 stimmt in meinem fall bei arcor. das hat mich lange gebraucht rauszufinden, aber mit der settig geht es nachweislich an meinem port. (was aber auch nicht arcor einheitlich sein muss, was ich auch gelernt habe)

dankeschön :), ich probier die setting sobald ich daheim bin.

sonst bin ich natürlich für config-tipps und don't-do's immer offen :)

martin

kein Problem:

Current configuration : 3693 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret << gesetzt >>
!
no aaa new-model
!
resource policy
!
no ip routing
no ip cef
!
ip name-server 145.253.2.11
ip name-server 145.253.2.75
!
!
interface BRI0
no ip address
encapsulation hdlc
no ip route-cache
shutdown
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
dsl operating-mode auto 
!
interface ATM0.1 point-to-point
no ip route-cache
no snmp trap link-status
pvc 1/32 
 oam-pvc manage
 pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface Dot11Radio0
no ip address
no ip route-cache
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname << username >>
ppp chap password 0 << passwort >>
ppp pap sent-username << username >> password 0 << passwort >>
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password << gesetzt >>
login
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

ip route 0.0.0.0 0.0.0.0 Dialer0

ip name-server 145.253.2.11

ip name-server 145.253.2.75

das ist der fragliche Config-Auszug ...

sollte also eigentlich alles soweit grün sein, oder ?

Hallo,

ich versuche seit einiger Zeit meine Aror-DSL Leitung auf dem Cisco 876W zum laufen zu bringen ...

Beim Verbindungstest bekomme ich aber permanent diese Fehlermeldung: "Routing ist für keine(n) konfigurierten DNS-Server durch die ausgewählte Schnittstelle möglich.", und folgendem Lösungsvorschlag: " Wählen Sie die Option "Geben Sie eine IP-Adresse oder einen Hostnamen ein", oder fügen Sie eine "hostspezifische/netzwerkspezifische/Standard"-Route ein, und testen Sie die Verbindung erneut."

Kann mir jemand sagen was der Router mir damit sagen will ???

Außer den DNS-Servern von Arcor, habe ich nur das PPPoE mit dem SDM konfiguriert.

Ist eine explizite Config nötig ?

Martin

nee, mit dem reskit hab ichs noch nicht probiert. was ist denn noch gleich ne mst-datei ? ich steht grad ein wenig auf dem schlacht ;)