Jump to content

hegl

Abgemeldet
  • Content Count

    704
  • Joined

  • Last visited

Community Reputation

10 Neutral

About hegl

  • Rank
    Board Veteran
  1. Verstehe Deine Frage nicht :( Ich natte unser 192-er Netz auf 10.10.10.0 und komme nur mit diesen IP´s beim Partner ins Netz 172.10.x.x Das heißt, bei Paketen aus unserem Netz zu 172.10.x.x wird der Tunnel aufgebaut und unsere internen Adressen auf 10.10.10.0/24 genattet. Beim neuen Tunnel wird analog verfahren: Bei Paketen zu 172.20.x.x soll ein weiterer Tunnel aufgebaut und unsere internen Adressen ebenfalls auf 10.10.10.0/24 genattet werden (weil nur diese im Netz beim Partner rein dürfen).
  2. Ich verzweifele gerade an einer VPN-Verbindung zu einem Kunden. Aktuell existiert bereits ein produktives VPN zu diesem, nun soll/muss aufgrund Netzwerkänderungen beim Kunden parallel ein zweites VPN in Betrieb genommen werden. Der Aufbau sieht von unserer Seite folgendermaßen aus: LAN (192.168.168.0/24) -- NAT (10.10.10.0/24) -- Peer Firma A -- Internet -- Peer 1 Firma B --- Remote LAN (172.10.x.x) So funktioniert´s bisher einwandfrei. Nun soll zu einem anderen Peer mit einem anderen Remote LAN unter Verwendung der gleichen NAT-Range das zweite VPN aufgebaut werden LAN (192.168.168.0/24) -
  3. Kann man standardmäßig im Edge einstellen, dass gemischter Inhalt angezeigt wird, ohne jedesmal den entsprechenden Button zu drücken? Oder erlaubt das die Sicherheitsstruktur dieses Browsers nicht? Ist es vielleicht sogar möglich, dies nur von bestimmten Seiten zuzulassen, die ich als vertrauenswürdig bzw. sicher einstufe?
  4. Jepp, das funktioniert - dankeeeeeeeeeeeeeeeeeee !!!
  5. Das Zertifikat wird als *.pem exportiert und dann in *.cer umgewandelt - das hat ja vor ein paar Wochen funktioniert. Aber ich teste Deinen Vorschlag gerne. Nein, die "Sophos-Generated Certificate Authority" funktioniert ja. Es geht lediglich um das auf der Sophos selbst erzeugte Serverzertifikat mit einem bestimmten FQDN. Die rechtliche Seite ist von entsprechender Stelle geprüft worden.
  6. Jepp. Bekanntes Problem? Sophos SGxxx Das Problem beim HTTPS-Scanning ist hier, dass Blockmeldungen nicht richtig dargestellt werden. Dazu erzeugt man dann auf dem System ein Zertifikat mit dem entsprechenden Namen, exportiert dieses, macht daraus ein .cer kodiertes Zertifikat und importiert das im Browser.
  7. Nein, steht auf "Alle" Bin auch Rookie bei Zertifikaten, aber welchen privaten Schlüssel muss ich denn haben? Ich habe das Zertifikat des Proxy-Servers installiert und das funktioniert auch. Weiter benötige ich noch eins für die korrekte Anzeige von Fehlermeldungen. Dieses habe ich auf dem Proxy mit dem entsprechenden Namen erzeugt und versuche dies nun im IE zu importieren. Und genau dieses macht Probleme. Das Merkwürdige ist aber, dass das in der Testphase vor 2 Monaten wunderbar funktionierte, da haben wir auf 10 Clients in der AD beide Zertifikate problemlos installieren und dei
  8. Genau das habe ich doch manuell nachher gemacht: In der Konsole sichtbar, im IE11 nicht :-(
  9. Für HTTPS-Scanning auf einem Proxy-Server müssen wir 2 Zertifikate (xxx.cer) auf jeden Client (Win7 mit IE11) installieren. Dies wurde durch GPO gelöst. Leider wird im IE im entsprechenden Bereich (Vertrauenswürdige Stammzertifizierungsstellen) nur eins der beiden Zertifikate angezeigt, über die MMC sind beide zu sehen. Selbst wenn ich dann beide noch einmal lösche und anschließend manuell importiere (beides Mal positive Rückmeldung: Importvorgang erfolgreich) sehe ich die Zertifikate zwar über die Konsole, aber nur eins im IE. Dementsprechend gibt´s bei speziellen HTTPS-Requests zerstückelte
  10. Oki, dynamic access policy schaue ich mir mal an
  11. Hallo, ich teste gerade die LDPA-Authentifizierung für AnyConnect (ASA 8.2.3). Soweit habe ich das jetzt auch ans Laufen gebracht. User in der AD-Gruppe SSL_VPN_Benutzer können sich per AnyConnect verbinden. ldap attribute-map AnyConnect-LogIn map-name memberOf IETF-Radius-Class map-value memberOf CN=SSL_VPN_Benutzer,OU=Gruppen,OU=Firma,DC=xyz,DC=de sslvpngroup dynamic-access-policy-record DfltAccessPolicy aaa-server LDAP_SRV_GRP protocol ldap aaa-server LDAP_SRV_GRP (inside) host DC01.xyz.de server-port 636 ldap-base-dn DC=xyz,DC=de ldap-scope subtree ldap-naming-attribute sAMAcco
  12. Als Rückmeldung: Bei einer "Static Policy Nat Rule" kann ich als source keine network-group mit meheren Netzen anziehen - das bietet mir der ASDM auch erst gar nicht an (warum sollte es dann per CLI gehen?). Also habe ich für jedes interne Netz die ACL für das static-command einzeln angelegt: access-list A2B extended permit ip 10.10.10.0 255.255.255.0 172.16.10.0 255.255.255.0 access-list A2B extended permit ip 10.10.11.0 255.255.255.0 172.16.10.0 255.255.255.0 access-list A2B extended permit ip 10.10.12.0 255.255.255.0 172.16.10.0 255.255.255.0 und nicht object-group network Int
  13. Ok, habe jetzt die Eskalationsmeldungen deaktiviert. Da es ein externer Partner ist, kann ich auch nicht so ohne weiteres dort die Ressource permanent abfragen.
  14. Ich prüfe einfach, ob der Tunnel aktiv ist oder nicht. Dazu gibt es in PRTG einen enstprechenden Sensor, der die ASA abfragt.
  15. Wir überwachen unsere VPN-Verbindungen zu unseren Remote-Standorten mittels PRTG. Bei einem neuen VPN zu einem Partnern, wo wir Ressourcen nutzen, habe ich die Überwachung analog eingestellt und musste heute Morgen feststellen, dass diese Überwachung nur zu gut funktioniert :cool: Mein Problem ist jetzt aber, dass der Tunnel, nachdem kein traffic mehr produziert wurde, sich abbaut und erst heute Morgen bei Anforderung durch initiierten traffic wieder hoch kam. Ehrlich gesagt hatte ich mir dazu noch nie Gedanken gemacht und würde nun gerne wissen, ob es einen Parameter gibt, wo der Tunnel ohne
×
×
  • Create New...