Wordo

Ok, jetzt hab ich geschallt worauf du hinaus willst. :) Ohne Scripting wird da nicht viel möglich sein, dafür sind meine Kenntnisse in Windows auch nicht tief genug. 

Prinzipiell würdest du ja gern die Funktion von PE für eine Problemlösung verwenden welche nicht dem Grundgedanken entspricht, jedenfalls nicht meinem Empfinden von Privatsphäre im Serverbereich. 

Besten Dank für die Einführung, mir ist das alles schon klar. PE's sollten eigentlich eine Lifetime haben, von daher ist deine Frage ohne das "einmal" obsolet. Ich glaub bei W2K3 Server sind die allerdings deaktiviert, kenne die Werte bei Windows nicht so gut. 

Eventuell kannst du mit nem Batchsciprt PE de- und wieder aktivieren um eine neue Adresse zu forcieren, einfach mal testen:

Zufallszahl und ändern ... das widerspricht sich doch an sich. Wer PE einsetzt will doch gerade eben nicht, dass man da was machen kann. Ansonsten könnten man da höchstens was scripten, aber mit Boardmitteln gehts nicht.

Na .. indem du die Adresse statisch vergibst? 

Bevor du gleich Class-B nimmst, mach doch ein /22. 

Einein Schwenk vom /25 auf /24 machst du am besten so:

Gateway/Firewall auf /24

Server auf /24

Drucker auf /24

Clients im DHCP auf /24 und in den hinteren Bereich ausrollen.

Sollte am wenigsten Probleme bereiten.

Ich glaube Squid verwendet squidclamav .. da wirste mit nem anderen Hersteller nicht weit kommen. 

Ansonsten kannst du F-Prot verwenden, ganz normal als Client aufrufen, ist auch nicht so teuer.

Übrigens ist ClamAV schon recht gut! Viel mehr würde ich mich um den Virenschutz auf den Clients kümmern, denn da kann sich der Scanner nach einem Patternupdate immer noch drum kümmern. Beim Proxy ist der Download da leider schon durch. Ist wie bei Mailservern, wenn das Patternupdate zu spät kommt ist die Mail schon durch.

Hm, da ist aber nichts besonderes dran, das kannst du im ASDM einfach mit dem Site-2-Site VPN Wizard nachstellen ... 

Wie war denn die Astaro konfiguriert? Dann kann man das schon anpassen.

Entweder mit ACL's oder wenns nur um diverse Protokolle geht dann mit Application Control Policies und/oder Web Filter.

Ich habe in der Group Policy für den Remote Access die Simultaneous Logins auf 1 gesetzt (Was ist hier eigentlich Standard bei Inherit?). Wenn ich mich nun mit dem gleichen User anmelde, wirft die neue Verbindung die Erste raus. Ist das normal oder kann ich das unterbinden? Eigentlich sollte der Zweite doch irgendwie eine Meldung erhalten, dass der User bereits in Benutzung ist?

ASA Version 8.2(3) auf ASA5520.

Wenn du einen hohen Idle Timeout hast und du deine Inet Verbindung verlierst macht das Verhalten schon Sinn.

Einfach den aktuellsten ASDM nehmen, 7.1.3 ist aktuell und mit dem klappt das auch.

Das sollte der Switch automatisch checken wenn der Pool sich mit den IP von SVI überschneidet. So isses bei IOS jedenfalls und sieht mir bei nem SG500X nicht viel anders aus.

Welche Version vom ASDM hast du? Bei geht alles problemlos ... 

In die 220er UTM passen aber auch 4GB rein, und wenn das gemacht ist läuft auch die aktuelle 9er mit 5 Acc Points, 20 Wlanclients, 140 Lanclients davon 100 über Proxy, meist 5 gleichzeitige VPN Verbindungen, insgesamt 25 VPN User und der Exchange mit smtp Proxy Flüssig bei meist 40-50% Ram-Auslastung. Supportfälle sind am selber Rameinbau bisher nicht gescheitert, und der für mein PLZ Gebiet zuständige sagte mir auf der ITSA auf meine Frage ob ich Ram selber stecken darf: machen Sies einfach :-/ unbefriedigend, für mich aber brauchbar und gangbar.

Welches RAM hast du verwendet und welche Rev hat deine 220er? 

Dann könnte ich das meinem Kunden mal vorschlagen ...

Korrrekt, Subinterface brauchst du nur wenn das Modem im Router ist, z.B. 886VA

Variante 1 skaliert besser, Variante 2 ist einfacher zu verwalten. 

Prinzipiell gibt sich das nicht viel, es ist wesentlich wichtiger zu verstehen worum es geht oder wie Firewalls arbeiten. Dein Konzept und die Hardware kann noch so gut sein, wenn du z.B. kein Default Drop hast ist alles für die Katz ;)

Du machst WPA und nicht explizit Version 2, dann klappts auch mit Apple :)

Ist das nicht etwas übertrieben für ein Telefon eine ASA aufzustellen?

Wenn du in der Zentrale ein Premium SSL hast dann kauf ein Cisco Phone das AnyConnect kann.

Das macht dann DHCP und verbindet sich mit SSL, das sollte mit Kundenfirewalls keine Probleme machen.

Das günstigste Produkt wäre ein SPA525G2 ... 160 Euro im EK.

Falls du 2 Contexte nur wegen Active/Active am laufen hast würde ich fast behaupten, dass du alle Router rausschmeissen kannst und das komplette Szenario mit ner 5515X im Active/Stanby hinkriegst :)

ASA ist i.d.R. performanter. Das einzige Argument was für IOS spricht ist die bessere Routingfunktionalität. Mit HW-Beschleunigung bekommste in der 2900er Klasse schon gut 200-600MBit durch (je nach Modell).

Der Client wird auch ins richtige VLAN gesetzt? Spanningtree?

Eigentlich brauchst du nur 802.1X am NPS, dadurch setzt der Switch den Port ins korrekte VLAN, alles weitere macht dann DHCP vom LAN und die Firewall. 

Optional, wenn unterstützt, könntest du auch ACLs auf den Port downloaden.

Äh, dazu brauchst du ja noch ein Device/SVI das routet? 

Das steht i.d.R. im Handbuch vom Switch ...