Wordo
-
Gesamte Inhalte
3.213 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Wordo
-
-
Ich habs zwar nich ganz geschnallt aber:
Wird das Zielnet mit "sh ip route" ueber das korrekte Interface geroutet?
Passt die ACL fuer das NAT?
Was steht in "sh ip nat transl"?
-
Naja aber warum gings dann jetzt fast 2 Jahre problemlos?
Ich hab damit nicht gemeint, dass es die Loesung fuer dein Problem war, wollte das nur mal anmerken ;)
-
Ich hab gestern noch LAN-Seitig vom Switch und von der ASA die ports auf 100-full manuell eingestellt, seit dem gabs keinen ausfall mehr. Früher wars auf auto/auto was ja auch gehen sollte naja.
Das ist abhaengig vom Hersteller.
Bei manchen (evtl. allen?) Catalysten ist vorgegeben, dass wenn die Gegenstelle nicht auto/auto ist - der Catalyst erkennt dann Speed/Duplex nicht - sich auf den kleinsten gemeinsamen Nenner zu stellen = 10/Half
-
Du musst doch im Debug vom ASDM was sehen wenns nicht geht .. oder mim Packet Capture schauen ob die Pakete die ASA verlassen.
-
Also ... auf dem Gerät beim Kabel Anbieter war Port 135 - 138 geblockt, "irgendwie hat das wohl ESP geblockt" ... es geht jetzt alles :)
Merci!
-
was ist das den für ein Gerät? Was für einen Zweck soll das denn erfüllen, außer Probleme zu machen?
Das ist ne Cisco, verbunden an nem Modem, was die Hochfrequenz vom Kabel (TV) Internet ueber ne Kupferader jagt, rueber zu nem Privatanschluss wo das Kabelmodem des Anbieters haengt.
Es soll Gegenden in DE geben da gibts nix anderes :D
-
Hallo,
ich denke wenn du ESP Traffic sperrst sollte er in UDP Tunneln.
lg Franz
Hat nicht geklappt.
Mein naechster Versuch waere jetzt die crpyto map ans interne IF zu binden und dadurch NAT zu erzwingen.
Das Geraet dazwischen arbeitet allerdings so strange, da will ich jetzt mal zu keinem Beitrag sagen "geht definitiv / geht definitiv nicht" ;)
-
Das Gegenstueck ist eine Astaro, das ist zwar ein Linux, da kann ich aber kein forceencaps aktivieren. Deswegen hab ich in Richtung IOS gesucht.
SLA? NAT-T? Check grad den Zusammenhang nicht ...
-
Aber wenn du 2 oeffentliche IP's hast, dann erkennt er automatisch das es kein NAT ist, das ist ja mein Problem :)
-
Servus,
hat jemand nen Plan ob man bei IOS sagen kann, dass bei der IPSec Verbindung NAT Encapsulation verwendet werden soll, egal ob genattet wird oder nicht?
Ich hab bei nem Kunden ein komisches Device vor dem Ciscorouter was anscheinende ESP blockt/ignoriert/wasweissich.
Wenn ich als Gegenstelle eine Linux nehm und da in der ipsec.conf "forceencaps=yes" eintrage funktionierts. Leider ist die Gegenstelle von dem Cisco kein Linux :)
Hab bis jetzt leider nix gefunden ...
Merci!
-
Hast schon mal mit dem Packet Capture Wizard ueber ASDM geschaut ob da was ankommt / durchgeht? Bin mir jetzt nicht sicher ob das schon ab 8.0.2 verfuegbar ist ...
-
Laeuft Citrix denn ueber den VPN-Tunnel?
Vielleicht verbindet der sich auf ein Web-Gateway was nicht getunnelt wird und du brauchst ein Clientzertifikat. Wenn jetzt der Router HTTPS Traffic scannt gaukelt er dir ein Zertifikat vor und du bekommst vom Server einen Zertifikatsfehler ...
-
Wenn der MA sein Laptop schlafen legt und dann ins LAN haengt bekommt er ueber DHCP ja ne neue Adresse inkl. DNS-Server, ich denk mal Windows is so schlau dann den Cache zu leeren :)
-
Wenn dann muss der VPN-Client bzw. die VPN-Policy das unterstuetzen.
-
Die drei verschiedenen sind dazu da, wenn du mal die Funktion von eingehend und ausgehend trennen magst, das einfach ueber DNS realisieren kannst.
Eingehende Mails: mx0
Ausgehende Mails: mailout
Zugriff fuer Clients: mail
Beim dritten waere es eher ein Vorschlag. SRV Records brauchst du nicht wenn du nicht weisst was es ist :)
Externes MX-Flag: Host Europe FAQ
-
Apache fuer Windows? :P
-
Das ist mir sofort an der erweiterten Signatur aufgefallen! :P
Glueckwunsch! :)
-
* Domäne ohne eigenen Domänencontroller, Anmeldung via WAN
* kein Netbios
Geht das ueberhaupt? :)
* Einebunden in eigenes MPLS
Mit VDSL? Welche Hardware?
-
Wer zahlt schafft an ;)
-
deb pppoe er
deb pppoe ev
deb ppp neg
deb ppp autho
deb ppp authe
ter mon
-
Aber das Antwortpaket ist ja die bekannte Source.
ISP_A (1.1.1.1)
ISP_B (2.2.2.2)
Default-GW 1.1.1.1
Crpyto-map 2.2.2.2 wird angesprochen, dann muss das Antwortpaket vom Router ja als 2.2.2.2 kommen. Also Source 2.2.2.2 per PBR ueber IF ISP_B.
Keine Ahnung ob das funzt .. bin grad zu faul nen Router hier aufzusetzen :)
-
Hm, nur ein Gedankenspiel:
acl 101 mit src ip ISP_A
acl 102 mit src ip ISP_B
Route-map mit match auf 101 route durch IF ISP_A
Route-map mit match auf 102 route durch IF ISP_B
local policy map muss noch aktiv sein.
Kann aber sein das das nich funzt ... :)
-
Waehl dich mim Client ein und mach ne DOS Box auf und gib "route print" ein.
Das dann posten ...
-
same-security-traffic permit intra-interface konfiguriert ?
Die Option hab ich im ASDM nicht gefunden :D
Cisco PBR und NAT erzwingen über Interface
in Cisco Forum — Allgemein
Geschrieben
Wie sieht denn deine NAT ACL aus?