hegl

das ist ja auch ein run.....

jepp - sorry. Wer lesen kann ist klar im Vorteil. :cry:

Version 8.x

asa1-test# sh run route

route outside 0.0.0.0 0.0.0.0 x.x.x.x 1

route TransferLAN 10.10.16.0 255.255.252.0 172.16.0.10 1

route TransferLAN 10.10.24.0 255.255.255.0 172.16.0.10 1

route TransferLAN 10.10.25.0 255.255.255.224 172.16.0.10 1

...

...

802.1x Authentifizierung ist für Switches + WLAN gedacht. Wie stellst du dir denn das sonst vor?

siehe Antwort vom Kollegen screaaam :p:p:p

Das würde dann so aussehen....

Du hast das Ergebnis eines Routers gepostet, wir sprechen hier aber von einer ASA :p

Es wäre hilfreich zu wissen, wie die Netzstruktur aussieht.

Das LAN direkt am Internet-Gateway angeschlossen? Welches Gateway? Hast Du dieses selber im Zugriff? Sind hier access restrictions gesetzt? Sind die Rechner Mitglied einer ADS? Ziehen hier ggf. irgendwelche Richtlinien?

Bei deinem ganzen Setup fehlt ein 802.1x tauglicher Switch. Software alleine reicht dazu nicht.

Wieso dass denn? :confused::confused::confused:

Die Authentifizierung soll ja nicht am Switch geschehen!

glauben oder wissen?

was macht denn ein ping auf zB Google

wird aufgelöst oder nicht?

Was ist eine CA und wie kann ich mir so eine besorgen?

Das hast Du Dir doch schon selbst beantwortet: CA= Certification Authority= Zertifizierungsstelle.

Damit sollte ich ja Zertifikate erstellen können oder?

Jenau

Die CA sollte in einer DMZ stehen, damit die zitierten Kriterien erfüllt sind wenn ich das richtig sehe.

Nein, i.d.R. ist eine DMZ "unsicherer" als das LAN.

Wie "DerBoris" schon erwähnt hat, ist die offline-CA, die Root-CA und das ist z.B. bei uns ein Notebook, was nach Erstellung der Sub-CA im Tresor verschwunden ist.

Ansonsten hat der Kollege alles gesagt. Vielleicht wäre noch anzumerken, dass Du fitt in ADS sein solltest, wenn Du dieses in eben dieser aufbaust.

D N S ?

Moin, moin,

wollte eigentlich auf ein "älteres" Posting https://www.mcseboard.de/windows-vista-forum-55/berechtigungen-registry-schluessel-aendern-119097.html antworten, was aber nicht funktioniert hat :confused::confused::confused:

Also, ich habe genau das gleiche Problem und muss im besagten Schlüssel einige Unterschlüssel nach einer Fehlinstallation löschen. Leider habe ich dazu keinerlei Berechtigungen, obwohl die Administratoren in den erweitereten Benutzerrichtlinien hier als Besitzer aufgeführt werden.

Was kann ich tun?

Komme ich evtl. mit einer Systemwiederherstellung hin? Wird dann auch die Registry zu diesem Zeitpunkt wieder hergestellt?

Hatte so ein Ding erst einmal in der hand und das ist schon was länger her --> deshalb weiß ich das nicht mehr auswendig. Am einfachsten rufts Du die kostenlose Hotline bei Linksys an, die sind i.d.R. sehr kompetent und helfen Dir bestimmt weiter.

Grundsätzlich sollte so etwas laufen.

Wir haben dies so in der Art mit dem ACS, der ein external mapping auf die ADS macht. Allerdings funktioniert das nicht so zufriedenstellend, da wir auch die VPN-User über ein weiteres ext. mapping konfiguriert haben. Hier beisst sich der ACS selbst in den Schwanz (ist der User Inet-User, funktioniert auch VPN-Access) . Dies ist aber ´ne interne ACS-Geschichte und sollte nach Auskunft eines CISCO-Consultant aber funktionieren.

Im Prinzip brauchst Du "nur" über virtual telnet den AAA-Server anzugeben und diesen entsprechend zu konfigurieren.

Wie´s mit dem IAS laufen soll, kann ich (noch) nicht sagen.

Was sagt denn der ping zu diesem Zeitpunkt?

Ist der Rechner anpingbar, kann er selbst pingen?

Anbei die Config vom Tunnel.

Wie schon einmal angemerkt: vergleiche auch einmal die Parameter für das Data Volume und die Lifetime - hier

Data Volume (mins): 2100000		
Lifetime (mins): 480

Damit bin ich auch einmal auf die Nase gefallen, als diese auf beiden Seiten nicht überein stimmten.

Hast du auf beiden Seiten feste IP´s - mich wunder das 0.0.0.0 - das sieht so aus, als wenn er bei der ankommenden Session nicht das passende IPSec dafür findet und nach einem sucht was auf "alles" steht.

 

Hast du ein wenig mehr Infos zu den Config´s ?

Jo, mich hat das mit dem 0.0.0.0 auch gewundert und habe darüber auch die Lösung gefunden: ich hatte auf der Aussenstelle, da es nur ein Netz ist, in der crypto ACL any angegeben, anstatt inside-LAN. In der ACL in der Zentrale musste ich ja zwangsläufig das Remote-LAN explizit angeben, was sich dann gebissen hat.

Letztlich ein sau****er Anfängerfehler.

Ich muss einige Aussenstellen an unsere LAN anbinden. Da ich nicht so der Router-Experte bin, mache ich das lieber mit der ASA.

Für die Aussenstellen habe ich ´ne ASA 5505, Version 8.0.4; in der Zentrale ´ne 5520 mit Version 8.0.3

Problem ist folgendes: Versuche ich von einem Host hinter dem Remote Peer eine Verbindung aufzubauen (ping), erhalte ich auf der zentralen ASA die syslog-message 713061:

3 Mar 25 2009 08:57:51 713061 Group = Remote Peer IP, IP = Remote Peer IP, , Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy LAN-IP/255.255.255.128/0/0 on interface outside

Erklärung lt. CISCO:

%PIX|ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address, Dst: dest_address!

This message indicates that the security appliance was not able to find security policy information for the private networks or hosts indicated in the message. These networks or hosts were sent by the initiator and do not match any crypto ACLs at the security appliance. This is most likely a misconfiguration.

Setze ich den ping von einem Host im LAN zu einem Host in der Aussenstelle ab, kommt der Tunnel jedoch hoch.:confused::confused::confused:

Beide Seiten sind beim connection type auf bidirectional konfiguriert.

Was ist hier falsch?

Das er nicht forwarded soll heißen dass ich keine Internet-Seite aufrufen kann und die Namensauflösung auch nicht funktioniert :(

logging einschalten und schauen, was denied wird!

Hast Du es denn mal mal mit:

no vpdn username abcd password **** store-local

anstatt "nur"

clear vpdn username

probiert?

Hier PIX/ASA 7.x Enhanced Spoke-to-Client VPN with TACACS+ Authentication Configuration Example - Cisco Systems müsste drinstehen, was Du suchst.

Was sagt denn das logging im ASDM?

Nachdem der IE nun auch noch regelmäßig abschmiert, habe ich mich zu einer Neuinstallation entschlossen. Dank Image gehts ja mittlerweile recht schnell.

Danke für Eure Tipps.

Benutzt Du einen Proxy?

Rakli

Nein

Stelle mal kurzzeitig den Virenscanner aus.

Keine Änderung

Hat der firefox auch diese Probleme?

Firefox geht ohne Probleme.

Ich denke nicht, dass es ein Sicherheitsproblem ist.

Trotzdem habe ich gearde einmal die Sicherheitsstufe runter geschraubt und dann auch mal die Seite als vetrauenswürdige Site eingetragen - Neustart - keine Änderung.

Visitenkarten und Zusatzinformationen zu unseren Häusern

zB. das Bild mit den drei netten Mädels ;)

reboot, Sicherheitseinstellungen --> alles gecheckt, keine Änderung