hegl

Verstehe Deine Frage nicht :( Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet. Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).

Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus: LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x) So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 2 Firma B --- Remote LAN (172.20.x.x) Leider baut sich aber der Tunnel nicht auf. Ich sehe noch die Meldung "IKE Initiator: New Phase 1, Intf inside, IKE Peer .....", aber dann nichts mehr. Hat jemand eine Idee? Ich habe beide configs verglichen und die sind absolut ok. Kann es sein, dass die ASA hier mit dem NAT zu 2 unterschiedlichen Netzen ein Problem hat?

Kann man standardmäßig im Edge einstellen, dass gemischter Inhalt angezeigt wird, ohne jedesmal den entsprechenden Button zu drücken? Oder erlaubt das die Sicherheitsstruktur dieses Browsers nicht? Ist es vielleicht sogar möglich, dies nur von bestimmten Seiten zuzulassen, die ich als vertrauenswürdig bzw. sicher einstufe?

Jepp, das funktioniert - dankeeeeeeeeeeeeeeeeeee !!!

Das Zertifikat wird als *.pem exportiert und dann in *.cer umgewandelt - das hat ja vor ein paar Wochen funktioniert. Aber ich teste Deinen Vorschlag gerne. Nein, die "Sophos-Generated Certificate Authority" funktioniert ja. Es geht lediglich um das auf der Sophos selbst erzeugte Serverzertifikat mit einem bestimmten FQDN. Die rechtliche Seite ist von entsprechender Stelle geprüft worden.

Jepp. Bekanntes Problem? Sophos SGxxx Das Problem beim HTTPS-Scanning ist hier, dass Blockmeldungen nicht richtig dargestellt werden. Dazu erzeugt man dann auf dem System ein Zertifikat mit dem entsprechenden Namen, exportiert dieses, macht daraus ein .cer kodiertes Zertifikat und importiert das im Browser.

Nein, steht auf "Alle" Bin auch Rookie bei Zertifikaten, aber welchen privaten Schlüssel muss ich denn haben? Ich habe das Zertifikat des Proxy-Servers installiert und das funktioniert auch. Weiter benötige ich noch eins für die korrekte Anzeige von Fehlermeldungen. Dieses habe ich auf dem Proxy mit dem entsprechenden Namen erzeugt und versuche dies nun im IE zu importieren. Und genau dieses macht Probleme. Das Merkwürdige ist aber, dass das in der Testphase vor 2 Monaten wunderbar funktionierte, da haben wir auf 10 Clients in der AD beide Zertifikate problemlos installieren und deinstallieren können. Vielleicht ein MS-Update die Ursache? Ich habe nun auch einmal versucht beide Zertifikate im Firefox zu importieren. Auch hier macht das eine wieder Probleme: Unter Zertifikate\Server scheint er den Import zu machen, sehe aber auch nachher hier das Zertifikat nicht. Versuche ich den Import über Zertifikate\Ihre Zertifikate meckert er den von @g2sm genannten fehlenden privaten Schlüssel an. Nur, welcher ist das??

Genau das habe ich doch manuell nachher gemacht: In der Konsole sichtbar, im IE11 nicht :-(

Für HTTPS-Scanning auf einem Proxy-Server müssen wir 2 Zertifikate (xxx.cer) auf jeden Client (Win7 mit IE11) installieren. Dies wurde durch GPO gelöst. Leider wird im IE im entsprechenden Bereich (Vertrauenswürdige Stammzertifizierungsstellen) nur eins der beiden Zertifikate angezeigt, über die MMC sind beide zu sehen. Selbst wenn ich dann beide noch einmal lösche und anschließend manuell importiere (beides Mal positive Rückmeldung: Importvorgang erfolgreich) sehe ich die Zertifikate zwar über die Konsole, aber nur eins im IE. Dementsprechend gibt´s bei speziellen HTTPS-Requests zerstückelte Websites. Wo kann ich hier ansetzen?

Oki, dynamic access policy schaue ich mir mal an

Hallo, ich teste gerade die LDPA-Authentifizierung für AnyConnect (ASA 8.2.3). Soweit habe ich das jetzt auch ans Laufen gebracht. User in der AD-Gruppe SSL_VPN_Benutzer können sich per AnyConnect verbinden. ldap attribute-map AnyConnect-LogIn map-name memberOf IETF-Radius-Class map-value memberOf CN=SSL_VPN_Benutzer,OU=Gruppen,OU=Firma,DC=xyz,DC=de sslvpngroup dynamic-access-policy-record DfltAccessPolicy aaa-server LDAP_SRV_GRP protocol ldap aaa-server LDAP_SRV_GRP (inside) host DC01.xyz.de server-port 636 ldap-base-dn DC=xyz,DC=de ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password * ldap-login-dn CN=Admin,CN=Builtin,DC=xyz,DC=de ldap-over-ssl enable server-type microsoft ldap-attribute-map AnyConnect-LogIn aaa local authentication attempts max-fail 3 webvpn enable outside svc image disk0:/anyconnect-win-3.1.06073-k9.pkg 1 svc enable tunnel-group-list enable group-policy NoSSLAccess internal group-policy NoSSLAccess attributes vpn-simultaneous-logins 0 group-policy sslvpngroup internal group-policy sslvpngroup attributes dns-server value DNS-Server1, DNS-Server2 vpn-simultaneous-logins 3 vpn-tunnel-protocol svc split-tunnel-policy tunnelspecified split-tunnel-network-list value split-tunnel default-domain value xyz.de split-dns value xyz.de msie-proxy method no-proxy webvpn svc keep-installer installed svc rekey time 30 svc rekey method ssl svc ask none default svc tunnel-group sslgroup type remote-access tunnel-group sslgroup general-attributes address-pool anyconnect-pool authentication-server-group LDAP_SRV_GRP LOCAL authentication-server-group (inside) LDAP_SRV_GRP LOCAL default-group-policy NoSSLAccess tunnel-group sslgroup webvpn-attributes group-alias sslgroup_users enable Wenn ich nun eine weitere Gruppe der AD, z.B. Fremdfirmenmitarbeiter auch für bestimmte Ressourcen zulassen will, was muss ich dann tun? Wie ist hier die Vorgehensweise, hat jemand einen Link zu einer Beispielkonfiguration? Weiterhin hattte ich gedacht, dass nach obigerKonfiguration auch eine Anmeldung mit einen loaklen User (auf der ASA eingerichtet) funktioniert. Offensichtlich aber nicht, wo ist hier noch was zu konfigurieren?

Als Rückmeldung: Bei einer "Static Policy Nat Rule" kann ich als source keine network-group mit meheren Netzen anziehen - das bietet mir der ASDM auch erst gar nicht an (warum sollte es dann per CLI gehen?). Also habe ich für jedes interne Netz die ACL für das static-command einzeln angelegt: access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0 access-list A2B extended permit ip 10.10.11.0 255.255.255.0 172.16.10.0 255.255.255.0 access-list A2B extended permit ip 10.10.12.0 255.255.255.0 172.16.10.0 255.255.255.0 und nicht object-group network Internes-LAN network-object 10.10.10.0 255.255.255.0 network-object 10.10.11.0 255.255.255.0 network-object 10.10.12.0 255.255.255.0 access-list A2B extended permit ip object-group Internes-LAN 172.16.10.0 255.255.255.0 Dann funktioniert auch static (inside,outside) 192.168.10.0 access-list A2B

Ok, habe jetzt die Eskalationsmeldungen deaktiviert. Da es ein externer Partner ist, kann ich auch nicht so ohne weiteres dort die Ressource permanent abfragen.

Ich prüfe einfach, ob der Tunnel aktiv ist oder nicht. Dazu gibt es in PRTG einen enstprechenden Sensor, der die ASA abfragt.

Wir überwachen unsere VPN-Verbindungen zu unseren Remote-Standorten mittels PRTG. Bei einem neuen VPN zu einem Partnern, wo wir Ressourcen nutzen, habe ich die Überwachung analog eingestellt und musste heute Morgen feststellen, dass diese Überwachung nur zu gut funktioniert :cool: Mein Problem ist jetzt aber, dass der Tunnel, nachdem kein traffic mehr produziert wurde, sich abbaut und erst heute Morgen bei Anforderung durch initiierten traffic wieder hoch kam. Ehrlich gesagt hatte ich mir dazu noch nie Gedanken gemacht und würde nun gerne wissen, ob es einen Parameter gibt, wo der Tunnel ohne entsprechenden traffic abgebaut wird oder warum dieser bei unseren Remote-Standorten auch nachts immer up ist.