hegl

Nachdem WSUS zugeschlagen hat, habe ich auch noch über die Update-Funktion den PC gecheckt.

Hallo, viel gegoogelt - aber keine Lösung gefunden :cry::cry::cry: Nach diversen Abstürzen im IE7 habe ich diesen heute deinstalliert und wieder neu installiert. Seitdem werden auf einigen Seiten keine Bilder, die über einen externen Link aufgerufen werden, mehr angezeigt. Kopiere ich diese Link und rufe ihn separat auf, wird das Bild angezeigt. Grundsätzlich werden Bilder angezeigt, egal ob gif oder jpg etc. Nur die über einen ext. Link nicht. Wer weiß Rat?

Ja, über CLI habe ich es auch versucht --> vergebens. Dann erinnerte ich mich an ein Problem, dass Hosts nicht zu einer bestehnden NAT-Gruppe hinzugefügt werden können (hinzugefügt ja, aber ohne Wirkung, Unable to download NAT policy for ACE obwohl diese Meldung hier nicht kam), ohne dass hinterher ein no nat und wieder ein nat gemacht wurde. Aber auch das hat hier nicht geholfen. ALLERDINGS: ein reload schafft hier Abhilfe

Jo, 8.0.4.23 mit ASDM 6.1.5.57 ! Hier ein paar Details: Konfiguriert ist eine object-group network für verschiedene IP´s, die per Fernwartung auf die angemeldeten VPN-RA-Clients zugreifen dürfen. Weiterhin existiert für diese object-group auch ein nat0-Statement. Also brauche ich nur eine weitere IP in diese Gruppe aufnehmen und schon sollte der MA Support auf den RA-Clients machen können. Dies ist aber nicht der Fall. Erst nach dem downgrade auf 8.0.3 klappt das wieder. (8.0.4 kann ich nicht nehmen, da wir da wegen einem SQL-injection-error vor die Pumpe laufen)

Da hast Du natürlich vollkommen Recht. Ich werde dies aber auch noch mal in einer Testumgebung nachstellen, um sicherzustellen, dass es kein Einzelfall ist.

Stell doch einfach einmal das entsprechende Syslog hier ein. Hast du denn schon mal den Packet Tracer probiert? Hier kann man schön die Verbindungen simulieren.

Nein!

Und auch mit IR 8.0.4(23) bin ich gestern wieder auf die Nase gefallen: ich kann für eine bestehende VPN Verbindung keine neuen Hosts zulassen. Nach downgrade auf 8.0.3 läuft wieder alles prächtig.

Sieht auf de ersten Blick nicht verkehrt aus...Was sagt denn das logging? Gerade wenn man die ASA hat, ist es doch über den ASDM ein Leichtes, auftretende Fehler zu erkennen.

Direkt helfen kann ich Dir auch nicht, da es für mich nicht zur Debatte steht, einen tftp-server für outside zu definieren. Grundsätzlich sollte es so aber laufen: tftp-server <ifname> <ip> <directory> wr net [<tftp-ip>]:<filename>

Schau mal hier hier

Das musst Du am VPN-Gateway ändern! Standardmäßig steht das aber auf unlimited. Bei der ASA group-policy Restricted_Access attributes vpn-session-timeout <time in min.>

Das ist natürlich ein Argument !

Hast ja Recht, aber z.B. ein WTS brachte mich damals in die unglückliche Lage das DF-Bit zu "clearen" nachdem ein MS-Patch auf dem WTS eingespielt wurde. Die Serverheinis waren sich natürlich keiner Schuld bewusst, als RDP plötzlich nicht mehr lief und als Netzwerker ist man dann Schuld, weil wir das Problem auch im Netzwerkbereich lösen konnten.

ups , da waren andere schneller

Bei ´ner PIX mit V6.x hatte ich auch Probleme beim RDP, hatte auch mit den MTU´s "experementiert" und bin zu keiner Lösung gekommen. Seit dem Umstieg auf ´ne ASA habe ich dieses Problem durch Setzen des DF-Bit von "Copy" auf "Clear" in den Griff bekommen. Da Du nicht schreibst, was für ein VPN-Gateway Du nutzt, weiß ich natürlich nicht, ob´s dieses feature bei Dir gibt.

Dein NAT und die ACL für das VPN sehen eigentlich ganz gut aus. Ich denke auch eher, dass Du irgendwo ein Problem beim routing hast. Mich verwundert vor allem die "redirect-Meldung", wenn Du den static konfigurierst.

Checke einmal die Einstellungen zur SA-Lifetime (Time & Traffic Volum). Vielleicht ist hier etwas unterschiedliches konfiguriert.

Sry, war etwas abwesend. Habe den Rechner plattgemacht, ging schneller, als den Fehler zu weiter suchen.

Zur Info: Ich habe mit Vista Home Basic/Premium keinerlei Probleme mit DHCP, läuft alles wie geschmiert. DHCP kann eigentlich nicht dein Problem sein.

Beide Überprüfung sind ergebnislos :cry::cry::cry:

Habe seit 2 Tagen ein mrkwürdiges Problem: nach dem Starten des NB mit XP SP3 läuft erst einmal alles wie gehabt. Nach ca. 5 Minuten kann ich dann keine Websites mehr öffnen. Ein ping und nslookup íst aber i.O., ein telnet auf Port 80 der (internen & externen) Webserver klappt dann aber nicht mehr .Dieses Problem tritt sowohl bei der LAN- als auch bei der WLAN-Verbindung auf. Im Eventmanager sehe ich keine Einträge diesbezgl. Was ich bisher probiert habe: - Systmwiederherstellung von vor 4 Wochen - neues Profil, neuere User - Windows Firewall deaktiviert - Virencheck - IE7 und Firefox IP statt FQDN eingeben - abgesicherter Modus mit Netzwerktreibern - 3 unterschiedliche Provider und damit unterschiedliche HW Habt Ihr ´ne Ahnung, was das sein kann?

Ist mir bekannt, erklärt aber nicht, warum die DefaultRA-Group angezogen wurde. Hatte ich doch richtig in Erinnerung ;)

Moin moin, wieso hat mich denn gestern keiner aus meiner Lethargie geweckt? :D:D:D Habe mal wieder den Wald vor lauter Bäume nicht gesehen. Die Lösung ist doch recht simpel (Reihenfolge beachten): - alle benötigten Verbindungen zu internen Netzen werden permitted - der Zugriff auf alle angeschlossenen Netze wird denied - der Zugriffauf "any" wird permitted Und schon läuft´s wie gewünscht ;)

Folgendes Szenario: ASA mit outside, dmz und inside. In der dmz stehen öffentlich zugängliche Server (globale IP´s), die aber auch selbst Verbindungen nach draußen initiieren dürfen/sollen/müssen. Teilweise müssen aber auch manche dieser Server über fest definierte Ports ins LAN zugreifen. Nun zu der Problematik: Für die globalen IP´s konfiguriere ich ein identy-nat für eingehende Verbindungen. Für ausgehende Verbindungen konfiguriere ich zunächst ein nat-0 mit anschließender ACL wie zB access-list DMZ-OUT extended permit tcp object-group Webserver any eq http Für die Verbindungen ins LAN konfiguriere ich dann ein static und schon ist das Problem da. Jeder Server in der object-group Webserver darf dann per http auf den per static definierten Server im LAN zugreifen. Wie kann ich das eingrenzen, dass ich den Webservern ausschließlich den Zugriff nach draußen erlaube? Konfiguriert habe ich bei den access-group access-group DMZ_OUT in interface DMZ access-group inside_out in interface inside access-group outside_in in interface outside Kann ich mit einer weiteren access-group access-group inside_in out interface inside diesem Problem begegnen, oder zerhaue ich mir da eine andere access-group? Ich habe irgendwas im Kopf, dass ich auf einem interface nur eine access-group binden kann.