mturba

Du kannst z.B. auch nen 2511 dazu nehmen: Configuring a Terminal/Comm Server - Cisco Systems Gruß, Martin

Hi, nach dem in der RFC vorgestellten Schema wäre das dann 233.123.42.0/24, da 01111011 = 123 00101010 = 42

Hast du mal versucht, zunächst direkt Port 80 und 3389 in deinen static-Statements zu verwenden? static (inside,outside) tcp x.x.x.x www 192.168.1.2 www netmask 255.255.255.255 static (inside,outside) tcp x.x.x.x 3389 192.168.1.2 3389 netmask 255.255.255.255 und die ACL dann entsprechend [...] access-list outside_access_in extended permit tcp any host x.x.x.x eq www access-list outside_access_in extended permit tcp any host x.x.x.x eq 3389 Wenn das erstmal funktioniert, kannst du ja dann im nächsten Schritt versuchen, das auch über 30080 bzw. 33389 zum Laufen zu kriegen...

Welche Adressen verwendest Du denn als Destination-Adressen in deiner Access-Liste outside_access_in? Die Adresse deines Dialer-Interfaces oder die internen Adressen? Zu dem Zeitpunkt, zu dem diese Access-Liste ausgewertet wird, ist nämlich noch kein NAT passiert...

Wobei er zusätzlich noch permit icmp any any unreachable permit icmp any any time-exceeded in seine Outside-Accessliste aufnehmen sollte, damit auch ein Traceroute durch die PIX funktioniert. Im Gg.satz zu der IOS-Firewall oder dem FWSM kann die ICMP-Inspection der ASA nur mit ICMP-Echos umgehen.

Hi, hier meine funktionierende Konfiguration: ip ddns update method dyndns HTTP add http://username:password@<s>/nic/update?system=dyndns&hostname=<h>&myip=<a> interval maximum 28 0 0 0 [...] interface Dialer0 ip ddns update hostname myhostname.dyndns.org ip ddns update dyndns host 63.208.196.94

Bevor Du auf der CLI das Fragezeichen eingibst, musst du "Ctrl-V" drücken. Probiers damit nochmal...

"icmp permit" bezieht sich nur auf den ICMP-Traffic der ASA-Interfaces selbst, nicht aber auf den Verkehr, der durch die ASA durchgeht. Du solltest also noch ICMP-Inspection anschalten: policy-map global_policy class inspection_default inspect icmp

Richtig. Ist z.B. praktisch, wenn man eine Outgoing-Policy hat und diese nicht in der Accessliste jedes einzelnen Interfaces pflegen muss...

Hi, conf t interface Dialer1 no ip address dhcp ip address negotiated end

Konfiguration?

Poste bitte nochmal die Ausgabe folgender Befehle: show run int ethernet0 show run int dialer0 show dsl int atm 0 show int dialer0

Wie Wordo schon geschrieben hat: ATM0 hat damit nix am Hut...

Ah, Wordo war schneller ;)

Wieso hast du denn jetzt plötzlich am Dialer-Interface ip address dhcp client-id Ethernet0 anstelle von ip address negotiated konfiguriert?

Das klingt nach einem Mißverständnis... Sicherlich meinte der Kursleiter, dass nicht zwingend VTP verwendet werden muss, um eine funktionierende Kommunikation zwischen zwei Switchen über einen Trunk zu erreichen. Allerdings müssen in diesem Fall die VLANs auf jedem Switch von Hand gepflegt werden. Für das automatische Propagieren von VLANs ist bei Cisco das VTP vorgesehen. Wenn dieses nicht verwendet wird, müssen die VLANs auf den Switchen, auf denen sie Verwendung finden sollen, manuell erzeugt werden.

Hi Ramtho, das Stichwort hier ist "split tunneling": (Quelle: Cisco PIX Firewall Command Reference, Version 6.3 - T through Z Commands [Cisco PIX Firewall Software] - Cisco Systems) Ein Konfigurationsbeispiel von Cisco dazu: How to Configure the Cisco VPN Client to PIX with AES - Cisco Systems

Auf einer PIX gibt's kein "established"-Keyword, auf nem Router erlaubt dieser Accesslisten-Eintrag alle TCP-Pakete von überall nach überall, die zu einer bestehenden Verbindung gehören. Als zu einer bestehenden Verbindung gehörend wird das Paket gewertet, wenn das ACK- oder das RST-Bit gesetzt sind.

Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside".

Hi Wordo, kann ich leider bestätigen... hab's auch schon mit dem Advanced IP Featureset versucht. Ging wirklich erst, als ich das Enterprise Featureset installiert hab. Cisco 870 Series Integrated Services Routers for Small Offices [Cisco 800 Series Routers] - Cisco Systems

Dass bei "show int dialer1" eine MTU von 1500 angezeigt wird, ist normal... wichtig ist, dass am Dialer-Interface eine MTU von 1492 konfiguriert ist ("show run int dialer1 | include mtu"). Hab mich allerdings auch schonmal drüber gewundert, wieso dann trotzdem 1500 bei "sh int" angezeigt werden... weiß jemand, wieso?

MehLan, Du solltest -- bevor Du Dich abfällig über die Versuche von Forenmitgliedern äußerst, Dir zu helfen -- Dir darüber klar werden, dass es hier 1. sehr wohl viele qualifizierte Cisco-Admins gibt, die das auch schon einige Jahre praktizieren und 2. hier auf völlig ehenamtlicher Basis (sprich: kostenlos) in ihrer Freizeit versuchen, Fragen zu beantworten bzw. zu diskutieren. Das bedeutet, Du findest hier möglicherweise Antworten auf konkrete Probleme. Allerdings wird Dir hier keiner die Arbeit abnehmen, die Du eigentlich selbst tun solltest. Deshalb ist auch mein Rat an Dich, Dich erstmal mit den Grundlagen zu beschäftigen. Entweder, indem du Dokumentation liest (und evtl. ein Wörterbuch zur Hand nimmst), oder eben deutsch- oder anderssprachige Cisco-Literatur dazu nimmst, da gibt es einiges...

Und vor allem: welche PIX-Version verwendest du, 6.x oder 7.x? Sollte da noch ne 6.x-Version drauf laufen, wirst du mit "no shut undsoweiter" keinen Erfolg haben, dann wäre die Syntax eher "interface ethernet0 auto" oder "interface ethernet0 100full".

Loop Attenuation klingt mir schwer nach dem Wert für die Dämpfung...

Nein, nur statische ARP-Einträge überleben einen Reboot.