Wordo

Ok, jetzt hab ich geschallt worauf du hinaus willst. :) Ohne Scripting wird da nicht viel möglich sein, dafür sind meine Kenntnisse in Windows auch nicht tief genug. Prinzipiell würdest du ja gern die Funktion von PE für eine Problemlösung verwenden welche nicht dem Grundgedanken entspricht, jedenfalls nicht meinem Empfinden von Privatsphäre im Serverbereich.

Besten Dank für die Einführung, mir ist das alles schon klar. PE's sollten eigentlich eine Lifetime haben, von daher ist deine Frage ohne das "einmal" obsolet. Ich glaub bei W2K3 Server sind die allerdings deaktiviert, kenne die Werte bei Windows nicht so gut. Eventuell kannst du mit nem Batchsciprt PE de- und wieder aktivieren um eine neue Adresse zu forcieren, einfach mal testen: C:\Users\X>netsh interface ipv6 set privacy /? Syntax: set privacy [[state=]enabled|disabled] [[maxdadattempts=]<Ganze Zahl>] [[maxvalidlifetime=]<Ganze Zahl>] [[maxpreferredlifetime=]<Ganze Zahl>] [[regeneratetime=]<Ganze Zahl>] [[maxrandomtime=]<Ganze Zahl>] [[store=]active|persistent] Parameter: Tag Wert state - Gibt an, ob temporäre Adressen aktiviert sind. maxdadattempts - Mehrere Versuche zur Adressermittlung. Der Standardwert ist 5. maxvalidlifetime - Maximale Gültigkeitsdauer für temporäre Adressen. Der Standardwert ist 7d (sieben Tage). maxpreferredlifetime - Maximale Gültigkeitsdauer in Sekunden, während der temporäre Adressen bevorzugt werden. Der Standardwert ist 1d (ein Tag). regeneratetime - Zeit in Sekunden, bevor eine temporäre Adresse verworfen und eine neue Adresse erstellt wird. Der Standardwert ist 5s (fünf Sekunden). maxrandomtime - Obere Grenze, die zur Berechnung eines Zufallswertes für die Verzögerungszeit beim Starten verwendet wird. Der Standardwert ist 10m (zehn Minuten). store - Einer der folgenden Werte: active: Die Änderung besteht nur bis zum nächsten Neustart. persistent: Die Änderung ist beständig (Standardwert).

Zufallszahl und ändern ... das widerspricht sich doch an sich. Wer PE einsetzt will doch gerade eben nicht, dass man da was machen kann. Ansonsten könnten man da höchstens was scripten, aber mit Boardmitteln gehts nicht.

Na .. indem du die Adresse statisch vergibst?

Bevor du gleich Class-B nimmst, mach doch ein /22. Einein Schwenk vom /25 auf /24 machst du am besten so: Gateway/Firewall auf /24 Server auf /24 Drucker auf /24 Clients im DHCP auf /24 und in den hinteren Bereich ausrollen. Sollte am wenigsten Probleme bereiten.

Ich glaube Squid verwendet squidclamav .. da wirste mit nem anderen Hersteller nicht weit kommen. Ansonsten kannst du F-Prot verwenden, ganz normal als Client aufrufen, ist auch nicht so teuer. Übrigens ist ClamAV schon recht gut! Viel mehr würde ich mich um den Virenschutz auf den Clients kümmern, denn da kann sich der Scanner nach einem Patternupdate immer noch drum kümmern. Beim Proxy ist der Download da leider schon durch. Ist wie bei Mailservern, wenn das Patternupdate zu spät kommt ist die Mail schon durch.

Hm, da ist aber nichts besonderes dran, das kannst du im ASDM einfach mit dem Site-2-Site VPN Wizard nachstellen ...

Wie war denn die Astaro konfiguriert? Dann kann man das schon anpassen.

Entweder mit ACL's oder wenns nur um diverse Protokolle geht dann mit Application Control Policies und/oder Web Filter.

Wenn du einen hohen Idle Timeout hast und du deine Inet Verbindung verlierst macht das Verhalten schon Sinn.

Einfach den aktuellsten ASDM nehmen, 7.1.3 ist aktuell und mit dem klappt das auch.

Das sollte der Switch automatisch checken wenn der Pool sich mit den IP von SVI überschneidet. So isses bei IOS jedenfalls und sieht mir bei nem SG500X nicht viel anders aus.

Welche Version vom ASDM hast du? Bei geht alles problemlos ...

Welches RAM hast du verwendet und welche Rev hat deine 220er? Dann könnte ich das meinem Kunden mal vorschlagen ...

Korrrekt, Subinterface brauchst du nur wenn das Modem im Router ist, z.B. 886VA

Variante 1 skaliert besser, Variante 2 ist einfacher zu verwalten. Prinzipiell gibt sich das nicht viel, es ist wesentlich wichtiger zu verstehen worum es geht oder wie Firewalls arbeiten. Dein Konzept und die Hardware kann noch so gut sein, wenn du z.B. kein Default Drop hast ist alles für die Katz ;)

Du machst WPA und nicht explizit Version 2, dann klappts auch mit Apple :)

Ist das nicht etwas übertrieben für ein Telefon eine ASA aufzustellen? Wenn du in der Zentrale ein Premium SSL hast dann kauf ein Cisco Phone das AnyConnect kann. Das macht dann DHCP und verbindet sich mit SSL, das sollte mit Kundenfirewalls keine Probleme machen. Das günstigste Produkt wäre ein SPA525G2 ... 160 Euro im EK.

Falls du 2 Contexte nur wegen Active/Active am laufen hast würde ich fast behaupten, dass du alle Router rausschmeissen kannst und das komplette Szenario mit ner 5515X im Active/Stanby hinkriegst :)

ASA ist i.d.R. performanter. Das einzige Argument was für IOS spricht ist die bessere Routingfunktionalität. Mit HW-Beschleunigung bekommste in der 2900er Klasse schon gut 200-600MBit durch (je nach Modell).

Der Client wird auch ins richtige VLAN gesetzt? Spanningtree?

Eigentlich brauchst du nur 802.1X am NPS, dadurch setzt der Switch den Port ins korrekte VLAN, alles weitere macht dann DHCP vom LAN und die Firewall. Optional, wenn unterstützt, könntest du auch ACLs auf den Port downloaden.

Äh, dazu brauchst du ja noch ein Device/SVI das routet?

Traffic Distribution: All of the switch trunk protocols use the SA/DA (Source Address/Destination Address) method of distributing traffic across the trunked links. Refer to “Outbound Traffic Distribution Across Trunked Links” on page 12-27. Dann brauchst du mehr Hosts zum testen ...

Das steht i.d.R. im Handbuch vom Switch ...