niedax

Meines Wissens nach laufen die Verbindungen für NAT-T-Discovery immer von udp 4500 auf udp 4500. Bei meinem Kollegen scheint das auch so zu sein, bei mir werden zusätzlich ausgehende udp-Pakete > 1024 gesendet. Habe diesen Verkehr nun an dem ausgehenden Interface freigegeben und es läuft nun.

Ich habe allerdings keine Ahnung, wieso.

Gruß,

Stefan

Hallo zusammen !

Auf unserm CISCO-Router sollen sowohl mehrere statische, als auch dynamische Tunnel (mittels CISCO VPN-Client) terminieren. Wir haben nun unser WAN-Interface folgendermassen beschränkt und dabei Merkwürdiges festgestellt:

--> ...mehrere Anti-Spoofing-Regeln

--> permit esp any host <unserGW>

--> permit udp any host <unserGW> eq isakmp

--> permit udp any host <unserGW> eq non500-isakmp

Die ACL für ausgehenden Traffic ist genau analog dazu.

Werden noch weitere Freigaben für den NAT-T-Discovery benötigt?

Folgendes Phänomen haben wir festgestellt:

Kollege(Provide T-Online-Standard, Standard-Telekom-Router) wählt sich von zu Hause per VPN-Client ein, kann alle IP's im LAN Pingen.

Meine Wenigkeit(Provider 1&1, fli4l-Router) kann sich auch einwandfrei einwählen, jedoch keine IP im LAN pingen. Alle ACL's Richtung LAN sind ok und für uns beide gleich.

Dann habe ich o.g. ACL für ausgehenden Verkehr vom Interface genommen und bei mir funktioniert der PING auf einmal auch.

Benötigt NAT-T-Discovery nicht noch ICMP-Verkehr? Aber wenn ja, wieso geht's bei mir nicht bzw. nur ohne die OUT-ACL, aber bei meinem Kollegen ohne Probleme?

Danke für eure Hilfe.

Gruß,

Stefan

Hallo CISCO-Jünger!

Folgende Umgebung:

- CISCO-Router in Zentrale und Aussenstellen verbunden über DSL-VPN-GRE

- Einwahl mittels CISCO VPN-Client in Router Zentrale

- NAGIOS-Monitoring Server

Jetzt möchte ich gerne bestimmte Dinge überwachen und bin mir nicht sicher, ob SNMP, SNMP-Traps oder SYSLOG der richtige Weg ist.

- Protokollierung, welcher User sich wann per VPN Client eingewählt hat

--> crypto logging session

--> SYSLOG an LOGSERVER senden ???

- Protokollierung, welcher Admin-User sich wann per ISDN eingewählt hat

--> ???

- Verfügbarkeit der Leitungen

--> ping des Routers in der Aussenstelle und Abfrage der Interfaces per SNMP ??

- Ausfall DSL-Leitung/WAN-Interface

--> Triggern des WAN-/ISDN-Interfaces ??

- CPU-/Speicher-Auslastung

--> check_cisco_snmp_XXX PlugIn für NAGIOS

- Sonstige, wichtige Hinweise des Routers ?

Noch ein paar grundsätzliche Fragen zum syslogging:

- was bedeutet die Einstellung "logging facility" ? Sollte dort "syslog" stehen ?

- welcher severity level macht sinn?

- wenn ich bestimmte Infos z.B. zum Routing im syslog sehen möchte, muss ich diese dann per "debug...." erst aktivieren?

- Machen SNMP-Traps grundsätzlich eher Sinn für unser Vorhaben?

Danke für eute Hilfe.

Gruß,

Stefan

EDIT: Würde es grundsätzlich Sinn machen (auch bei einer kleinen Anzahl von VPN Client-Usern > 20) einen RADIUS einzusetzen? Würde dadurch das Logging erleichtert?

Hallo in die Runde,

ich schliesse mich mal der Frage von hegl an, da ich gerade eine ähnliche Frage zu den Themen VPN-Client-Software, NAT-Traversal und VPN-Passthrough stellen wollte.

Folgende Situation: User sollen sich per CISCO VPN-Client-SW auf einem Router mit EazyVPN-Server einwählen können. User sind sowohl per ISDN und CBC im Internet eingewählt, als auch per DSL hinter einem Router, der NATet.

Zuerst mal zur Begriffsklärung:

- VPN-Passthrough

Router unterstützt max. eine Verbindung; Portforwarding auf diesen einen Client muss aktiviert sein; Auf welchen Ports läuft die Kommunikation ab; ESP und ISAKMP-Pakete werden genatet/gepatet mit der einen Clientadresse ????

- NAT-Traversal

Es wird automatisch erkannt, ob alle beteligten Geräte NAT-T unterstützen durch NAT-T-Discovery-Pakete; ESP-Pakete werden in UDP gekapselt, daher mehrere Clientverbindungen möglich; Kommunikation immer von Port 4500 auf 4500 ????

Ebenfalls unklar sind mir die unterschiedlichen Einstellungen im CISCO-VPN-Client. Ich habe mal alle Einstellungen durchprobiert und Pakete mitgesnifft:

- Ohne Transparent Tunneling

UDP > 1024 auf 62515 (was ist das für ein spezieller Port?)

UDP 500 auf 500 ISAKMP

UDP 62515 auf 62515

Nur mit dieser Einstellung funktionierten mehrere gleichzeitige Verbindungen durch einen NAT-T-fähigen Router zum VPN-GW

- Transparent-Tunneling über UDP

alles wird in UDP gepackt

UDP > 1024 auf 62515

UDP 500 auf 500 ISAKMP

UDP 4500 auf 4500 (hier funktioniert dann anscheinend das NAT-Traversal)

- Transparent Tunneling über TCP (10000)

mehere UDP-Verbindungen von >1024 auf 62515

aber keine einige Anfrage an Port 10000???

Mir ist es nicht klar, wieso Methode 1 funktioniert hat und Methode 2 und 3 nicht.

Vielleicht kann ja jemand die Einstellungen etwas Erläutern?

Hoffe, dass liest überhaupt noch jemand ;-)

Danke.

Stefan

Hallo zusammen,

wir würden gerne den Ordner "Verwaltung" in Programme im Startmenü für "normale" User per Gruppenrichtlinien ausblenden.

Habe bisher leider kein passendes ADM gefunden, daher die Idee, den Usern einfach Zugriff auf den Ordner zu entziehen. Doch wie kann ich das per GPO erledigen?

Gibt es eine Möglichkeit, per GPO lokale Sicherheitseinstellungen auf diesen Ordner zu setzen?

Alternativen?

Danke im Voraus und Gruß,

Stefan

Kein Prob, wir werden es wahrscheinlich jetzt so machen, dass wir pro User eine Gruppe anlegen, dann kann man mit "show crypto sessions detail | inc Phase1" oder so ähnlich die aktiven Gruppen sehen. Ist auch aus Sicherheitsaspekten besser.

Trotzdem danke für deine Anregungen.

Gruß,

Stefan

Moin Wordo,

leider war's das nicht. Bei uns scheint vpdn gar nicht aktiviert zu sein.

Sonst noch ne Idee?

Stefan

Hallo zusammen !

Wir nutzen einen CISCO 2811er Router für Site-to-site und Client-to-Site-VPN. Unsere Remote-User wählen sich per CISCO VPN-Client auf dem Router ein.

Wie kann man sehen, welche User momentan angemeldet sind? Wir haben schon sämtliche show-Befehle durchprobiert, doch leider war noch nix Passendes dabei. In einem Listing haben wir zwar die eingewählten IP-Adressen gesehen, doch die lassen sich durch die poolzuweisung ja auch nicht eindeutig zu einem User zuweisen.

Gruß und danke im voraus.

Stefan

Hello again,

haben es jetzt so konfiguriert, wie von dir vorgeschlagen, und es funktioniert einwandfrei. Auch falls Kreuzverbindungen zu Stande kommen, funktioniert dies als Multilink. Haben das mit Messungen mittels NetOI überprüft.

Vielen Dank für deine Hilfe und bestimmt bis zur nächsten Frage ;-)

Gruß,

Stefan

Nabend rob,

danke für die schnelle Antwort.

Aber eigentlich wollten wir ja, dass das Backup von beiden Seiten aufgebaut werden kann und dann auch jeweils der multilink.

Problem könnte(??) ansonsten doch sein:

Router A ist mit multilink konfiguriert, hohes Trafficaufkommen von LAN B

LAN A -- Traffic normal --> Router A ##PSTN## Router B <-- Traffic hoch -- LAN B

Würde Router A dann merken, dass von LAN B viele Anfragen kommen und den 2. Tunnel hochziehen , damit er die vielen Anfragen bedienen kann?

JA, ISDN ist echt etwas tricky. Vor allem blicken wir noch nicht so ganz, wann man Optionen auf den Dialer, und wann direkt auf die BRI setzen muss. Jetzt im Moment machen wir's immer frei nach dem Motto: "Doppelt hält besser" ;-O

Gruß,

Stefan

Hallo zusammen !

Wir wollen einen 2811er und einen 1712er-Router per GREoverIPSEC verbinden und per ISDN Backup mit bis zu max. zwei B-Kanälen absichern. Der Aufbau der Backupleitung und eventuell Zuschaltung der 2. Leitung soll von beiden Geräten aus möglich sein.

Das Backup funktioniert auch schon mit den Einstellungen "ppp multilink" und "dialer load-threshold xxx". Jetzt haben wir jedoch festgestellt, dass er vorkommen kann, dass Router A die Verbindung mit einem Kanal aufbaut und Router B nach einiger Zeit ebenfalls eine Verbindung aufbaut (quasi über Kreuz). Dann haben wir jeweils eine Verbindung mit "In" und eine mit "OUT" in der Anzeige von "show isdn active". Wenn der Verkehr durchweg von einer Seite kommt, funktioniert es einwandfrei(zwei mal "OUT" bzw. "IN". Jedoch nicht, wenn von beiden Seiten Daten fliessen.

Gibt es eine Möglichkeit festzulegen, dass Router B sicht nicht einwählt, wenn Router A schon eine Verbindung aufgebaut hat und umgekehrt?

Kann morgen auch mal die Konfig posten, wenn ihr mich nicht versteht.

Danke im Voraus und Gruß,

stefan

Danke für den Tip, aber dann muss ja auch wieder gescriptet werden. Ich will doch gerade die Automatismen des WSUS nutzen.

Ich bin mir nicht ganz sicher, aber bei einigen Updates kommt das Fenster auch nicht bzw. nur der wiederholte Hinweis, dass neu gestartet werden muss, aber keine Deadline. Passiert dies nur bei besonders wichtigen Updates?

Hat denn sonst keiner ne Lösung für das Problem? Wir sind doch nicht das einzige Unternehmen, das diese Anforderung hat??

Gruß,

Stefan

Somit müsste es doch möglich sein, dass alle Updates sofort nach dem Anschalten des PC's installiert werden und der User gleich zu Beginn die Meldung des Neustarts bekommt und halt an der Stelle in den sauren Apfel beißt... Dafür aber den Tag über nicht mehr belästigt wird...

 

Theoretisch...

Wie du schon sagst: "Theoretisch". Damit könnte ich auch leben, jedoch wird es so aussehen, dass die Meldung zum Neustart genau dann kommt, wenn die User gerade alle Programme gestartet haben. Wenn das System zum Installationszeitpunkt wenigstens gesperrt wäre...

nachdem wir wiederholt Probleme mit zerschossenen Profilen hatten, bzw. es wurden (scheinbar ohne Grund) neue Profile angelegt.

Ja, das ist ja ein klassisches Beispiel. Bei uns gibt es auch bestimmte User, die im ERP-System Auswertungen laufen lassen, die schon mal länger dauern, und wo es dann sehr ärgerlich ist, wenn die Karre neu startet.

Also wenn es wirklich keine andere Lösung gibt, werde ich den WSUS doch noch nicht implementieren und auf unser Patch-Management-System warten, da kann ich selbst entscheiden, WANN ich was installiere und neu starte.

Finde das mal wieder so ne typische **********-Logik. :mad:

Vielen Dank für eure schnellen Antworten.

Ist dafür nicht die Regel

"Keinen automatischen Neustart für geplante Informationen" zuständig ?

wenn ich mir die erklärung so durchlese hört sich das für mich so an !

Ich hab das Problem auch bei meinen Rechnern eigentlich nicht meine Server warten immer bis ich ihnen sage das sie neu booten sollen.

Ja, dachte ich auch. Diese Regel ist bei mir auch aktiviert. Weiterhin habe ich folgende Einstellungen gesetzt:

- Automatische Updates sofort installieren --> aktiviert

- Neustart für geplante Installationen verzögern --> 30 Minuten (Maximum)

- Erneut zu einem Neustart für... --> 1440 Minuten (Maximum)

Abgesehn davon lass ich die Updates kurz vor Feierabend installieren, somit würde der Neustart sowieso kurz vor Feierabend passieren und die Benutzer werden keine 2. Meldung mehr bekommen da sie dann eh schon den Rechner ausgeschalten haben

Das ist natürlich ein Workaround. Bei unseren Usern ist die Feierabendspanne jedoch von 16:00 bis 22:00 Uhr.

Ja, ne organisatorische. Wenn ein User seinen Rechner verlässt, dann hat er vorher seine Daten zu speichern.

 

Solange es sich dabei vorallem um Office-produkte handelt, dann ist mit der Autospeicherung innerhalbe von etwa 10 Minuten zum Beispiel schon viel geholfen.

Wir haben auch ne Menge andere Programme im Einsatz. Das ist definitiv keine Lösung für uns.

Gruß,

Stefan

Hallo zusammen !

Ich habe auf diesem Forum schon einige interessante Tips und Hinweise gelesen, doch nun muss ich auch mal posten.

Habe ebenfalls o.g. Problem mit den WSUS-Einstellungen. Kann den Wert für o.g. Fenster maximal auf 30 Minuten erhöhehen, aber selbst das ist zu kurz, wenn ein User mal in ner Besprechung ist. Wenn dann seinr Rechner neu startet und dabei evtl. Daten verloren gehen, kann ich mir was anhören. Aber ich möchte es ebenfalls nicht den User selbst überlassen, die Updates zu installieren.

Gibt's denn keine Lösung dafür?

Cruz,

Stefan