Wordo

Sagst du mir/uns noch den Namen dafuer? Waere naemlich recht interessant ... :) Bleibt nur noch das Problem mit den Internetcafe's.

Naja, die Muehe muss man sich ja nur einmal machen. Ohne Tool oder Einrichtung am Router wirds eh nicht gehn

Super, danke dir!

Das kann von einem ICMP Redirect kommen. Sprich der Router sagt dem Client fuer das Zielnetz ist ein anderer Router im Netz verantwortlich. Das 2te Paket geht dann an den richtigen Router. Da das dynamisch gelernt wurde wird nach einer bestimmten Zeit (10 Minuten?) der Eintrag aus dem Routingtable wieder geloescht. Gugg doch mal nach dem erfolgreichen Ping mit "route print" ob das ein neues Gateway fuer das Netz drinsteht.

Kannst du bitte die Telefonnummer posten? Dann kann man da immer gut drauf verweisen wenn so fragen kommen. Danke!

Probier einfach die Kommandos einzugeben: Catalyst 2960 Switch Software Configuration Guide, 12.2(25)FX - Configuring IEEE 802.1x Port-Based Authentication [Cisco Catalyst 2960 Series Switches] - Cisco Systems Ich konnts ueber den Feature Navigator leider nicht rausfinden :(

backspace-taste aktivieren? Ich checks grad nicht ... was soll da nicht gehen?

Du sagst ihm er soll dahin surfen: heise Netze - My-IP-Service Dann haste schon seine IP. Wenns nur drum geht auf seinen Rechner zu kommen erklaerst du ihm wie er seinen Desktop freigibt, IP haste ja bereits. Fertig.

Haste die Chance ne RDP Verbindung von Server Zentrale auf die Nebenstelle aufzubauen? Das sollte dann in der Tat seeeeeehr schleppend gehen. Surfen nicht unbedingt.

Cisco Catalyst 2960 Series Switches Data Sheet [Cisco Catalyst 2960 Series Switches] - Cisco Systems • IEEE 802.1x allows dynamic, port-based security, providing user authentication. • IEEE 802.1x with VLAN assignment allows a dynamic VLAN assignment for a specific user regardless of where the user is connected. • IEEE 802.1x with voice VLAN permits an IP phone to access the voice VLAN irrespective of the authorized or unauthorized state of the port. • IEEE 802.1x and port security are provided to authenticate the port and manage network access for all MAC addresses, including those of the client. • IEEE 802.1x with Guest VLAN allows guests without 802.1x clients to have limited network access on the guest VLAN. Da stehtwas er kann, ob Cisco Radius oder Windows Radius sollte kein Unterschied machen ...

Wie ist den der Typ? Transport oder Tunnel? Sieht mit eher so aus als wuerde die externe IP der ASA nicht in den Tunnel "reinpassen"

Hmpf, kannst du bitte ALLE wichtigen IPs (Switche, ASA, VLAN ASA, Client etc) in einem Post zusammenfassten. Ich blicks nich mehr :suspect: :shock:

PenguiNet rockt, vor allem kannst du fuer die einzelnen Profile noch Kommandos senden lassen basierend auf Inputs.

Du beschreibst das alles ein bisschen komisch :( Also bei Class-B gibts nur 29.50.X.X, wie kannst du dann eine Route an Ziel 29.140.X.X setzen? Sind die Adressen erfunden oder arbeitest du wirklich fuer 29.X.X.X?

Aeh ... dann habt ihr ne Subnetmask von 255.0.0.0???

Wie sind denn die IPs der VLANs auf den Catalysten?

Schau dir das mal an: uvlan - Endorsed by Tom

Wenn du bereit bist ein bisschen was auszugeben rate ich dir PenguiNet. Das kann Profile verwalten, arbeitet mit Tabs und kann auch sonst recht viel. Ich verwalte mit dem Teil ca. 100 Router und 40 Server/Firewalls. Silicon Circus - PenguiNet - Windows SSH Client

Hoert sich nach MTU an. Hast du auf der Cisco irgendwelche ACLs die ICMP blocken?

Wo ist da der Nutzen wenn du - wie oben geschrieben - fuer die einmalige Installation von SVC Adminrechte brauchst?

Ich habs vom Command Lookup Tool, geht nur fuer CCO Customer ... beim naechsten mal gerne ..

exec-timeout To set the interval that the EXEC command interpreter waits until user input is detected, use the exec-timeout command in line configuration mode. To remove the timeout definition, use the no form of this command. session-timeout To set the interval for closing the connection when there is no input or output traffic, use the session-timeout command in line configuration mode. To remove the timeout definition, use the no form of this command. Ich erklaer mir das so: Du warst nicht im exec-mode und durch den keepalive der TCP-Session wurde nix abgebrochen. Wenn jetzt auf der Kiste 5 Leute eingeloggt sind und du kurzzeitig ein Netzproblem hast fliegen alle raus aber die Sessions sind offen. Keiner kann sich mehr einloggen ==> session-timeout

Der Screenshot sieht eher nach Clientkonfiguration aus, da gehoert dann bei Cert natuerlich das Zertifikat fuer den Client rein ... ;)

CA = ca.cert oder root Zertifikat Cert = Fuer des Server generiertes Zertifikat Key = Der Key des Serverzertifikats

Also das war jetzt nur die Konfiguration des Clients, der Server sieht wieder n bisschen anders aus: port 1194 dev tap verb 5 ifconfig ipnetz.1 255.255.255.0 server ipnetz 255.255.255.0 #ifconfig-pool-persist ipp.txt keepalive 10 120 cipher AES-256-CBC comp-lzo auth SHA1 persist-key persist-tun mssfix 1300 daemon cd /usr/local/etc client-config-dir ccd user nobody group nogroup ca RootCA.cer cert fw1.cer key fw1.key crl-verify crl.pem dh dh1024.pem Im Ordner /usr/local/etc/ccd/ sind dann die Zertifikatsnamen als txt's und da stehn dann die IP's drin welche die User zugewiesen bekommen