hegl

jepp - sorry. Wer lesen kann ist klar im Vorteil. :cry:

Version 8.x asa1-test# sh run route route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 route TransferLAN 10.10.16.0 255.255.252.0 172.16.0.10 1 route TransferLAN 10.10.24.0 255.255.255.0 172.16.0.10 1 route TransferLAN 10.10.25.0 255.255.255.224 172.16.0.10 1 ... ...

siehe Antwort vom Kollegen screaaam :p:p:p

Du hast das Ergebnis eines Routers gepostet, wir sprechen hier aber von einer ASA :p

Es wäre hilfreich zu wissen, wie die Netzstruktur aussieht. Das LAN direkt am Internet-Gateway angeschlossen? Welches Gateway? Hast Du dieses selber im Zugriff? Sind hier access restrictions gesetzt? Sind die Rechner Mitglied einer ADS? Ziehen hier ggf. irgendwelche Richtlinien?

Wieso dass denn? :confused::confused::confused: Die Authentifizierung soll ja nicht am Switch geschehen!

glauben oder wissen? was macht denn ein ping auf zB Google wird aufgelöst oder nicht?

Das hast Du Dir doch schon selbst beantwortet: CA= Certification Authority= Zertifizierungsstelle. Jenau Nein, i.d.R. ist eine DMZ "unsicherer" als das LAN. Wie "DerBoris" schon erwähnt hat, ist die offline-CA, die Root-CA und das ist z.B. bei uns ein Notebook, was nach Erstellung der Sub-CA im Tresor verschwunden ist. Ansonsten hat der Kollege alles gesagt. Vielleicht wäre noch anzumerken, dass Du fitt in ADS sein solltest, wenn Du dieses in eben dieser aufbaust.

D N S ?

Moin, moin, wollte eigentlich auf ein "älteres" Posting https://www.mcseboard.de/windows-vista-forum-55/berechtigungen-registry-schluessel-aendern-119097.html antworten, was aber nicht funktioniert hat :confused::confused::confused: Also, ich habe genau das gleiche Problem und muss im besagten Schlüssel einige Unterschlüssel nach einer Fehlinstallation löschen. Leider habe ich dazu keinerlei Berechtigungen, obwohl die Administratoren in den erweitereten Benutzerrichtlinien hier als Besitzer aufgeführt werden. Was kann ich tun? Komme ich evtl. mit einer Systemwiederherstellung hin? Wird dann auch die Registry zu diesem Zeitpunkt wieder hergestellt?

Hatte so ein Ding erst einmal in der hand und das ist schon was länger her --> deshalb weiß ich das nicht mehr auswendig. Am einfachsten rufts Du die kostenlose Hotline bei Linksys an, die sind i.d.R. sehr kompetent und helfen Dir bestimmt weiter.

Grundsätzlich sollte so etwas laufen. Wir haben dies so in der Art mit dem ACS, der ein external mapping auf die ADS macht. Allerdings funktioniert das nicht so zufriedenstellend, da wir auch die VPN-User über ein weiteres ext. mapping konfiguriert haben. Hier beisst sich der ACS selbst in den Schwanz (ist der User Inet-User, funktioniert auch VPN-Access) . Dies ist aber ´ne interne ACS-Geschichte und sollte nach Auskunft eines CISCO-Consultant aber funktionieren. Im Prinzip brauchst Du "nur" über virtual telnet den AAA-Server anzugeben und diesen entsprechend zu konfigurieren. Wie´s mit dem IAS laufen soll, kann ich (noch) nicht sagen.

Was sagt denn der ping zu diesem Zeitpunkt? Ist der Rechner anpingbar, kann er selbst pingen?

Wie schon einmal angemerkt: vergleiche auch einmal die Parameter für das Data Volume und die Lifetime - hier Data Volume (mins): 2100000 Lifetime (mins): 480 Damit bin ich auch einmal auf die Nase gefallen, als diese auf beiden Seiten nicht überein stimmten.

Jo, mich hat das mit dem 0.0.0.0 auch gewundert und habe darüber auch die Lösung gefunden: ich hatte auf der Aussenstelle, da es nur ein Netz ist, in der crypto ACL any angegeben, anstatt inside-LAN. In der ACL in der Zentrale musste ich ja zwangsläufig das Remote-LAN explizit angeben, was sich dann gebissen hat. Letztlich ein sau****er Anfängerfehler.

Ich muss einige Aussenstellen an unsere LAN anbinden. Da ich nicht so der Router-Experte bin, mache ich das lieber mit der ASA. Für die Aussenstellen habe ich ´ne ASA 5505, Version 8.0.4; in der Zentrale ´ne 5520 mit Version 8.0.3 Problem ist folgendes: Versuche ich von einem Host hinter dem Remote Peer eine Verbindung aufzubauen (ping), erhalte ich auf der zentralen ASA die syslog-message 713061: Erklärung lt. CISCO: Setze ich den ping von einem Host im LAN zu einem Host in der Aussenstelle ab, kommt der Tunnel jedoch hoch.:confused::confused::confused: Beide Seiten sind beim connection type auf bidirectional konfiguriert. Was ist hier falsch?

logging einschalten und schauen, was denied wird!

Hast Du es denn mal mal mit: no vpdn username abcd password **** store-local anstatt "nur" clear vpdn username probiert?

Hier PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example - Cisco Systems müsste drinstehen, was Du suchst.

Was sagt denn das logging im ASDM?

Nachdem der IE nun auch noch regelmäßig abschmiert, habe ich mich zu einer Neuinstallation entschlossen. Dank Image gehts ja mittlerweile recht schnell. Danke für Eure Tipps.

Nein Keine Änderung Firefox geht ohne Probleme.

Ich denke nicht, dass es ein Sicherheitsproblem ist. Trotzdem habe ich gearde einmal die Sicherheitsstufe runter geschraubt und dann auch mal die Seite als vetrauenswürdige Site eingetragen - Neustart - keine Änderung.

Visitenkarten und Zusatzinformationen zu unseren Häusern zB. das Bild mit den drei netten Mädels ;)

reboot, Sicherheitseinstellungen --> alles gecheckt, keine Änderung