hegl

Jepp, danke. Mit den lokalen Usern funktioniert´s. Für den ACS baue ich mir erst einmal ein Lab auf - muss ohnehin noch einiges testen.

Sry, aber was ist das für eine Logik? CISCO schreckt dich ab, aber ein HP ist auch schon ne Nummer zu hoch zum konfigurieren? Mit dem CNA von CISCO wärste in 2 min durch...und wieso eine "halben CISCO --> HP" holen, wenn Du wirklich, wie du sagst für € 120,-, einen CISCO bekommst? Aber die Anforderung war ja eine LAN-Party mit 40 Usern und da ist es m.E. mehr als egal, ob CISCO, HP, Linksys oder auch Netgear/3Com/ATI aus dem Low-Cost-Bereich

ok, schau ich mir mal an - danke.

Ich beschäftige mich gerade mit SSL-VPN auf ´ner ASA5520. Mein Bestreben ist es, Supportmitarbeitern von externen Firmen, einen RDP-Zugriff auf die Server mit deren Software zu ermöglichen. Grundsätzlich habe ich dies auch lauffähig. Nun hänge ich aber an dem Punkt, dass User1 nicht die gleichen Bookmarks bekommt, wie User2, User3, etc. Irgendwie sehe ich nicht, wie/wo ich das konfiguriere, ohne für jeden User eine eigene group-policy anzulegen und dort das entsprechende bookmark zu verknüpfen. Geht das nicht irgendwie über den User? P.S. Zur Zeit arbeite ich (noch) mit einem lokalen User, habe aber auch den ACS zur Verfügung. Der ist aber teilweise ein Buch mit 7 Siegeln :mad:

Jo, kann ich vollends bestätigen! Laut RN gilt für die ASA 7-er Version der ASDM 5.0(x) Alles andere ist auf "eigene Gefahr"...

Habs zwar hinbekommen, aber warum und weshalb weiß ich immer noch nicht :-( Was ich getan habe, ist die NAT-Befehle zu löschen und wieder neu einzubinden. Habe mich dazu an einen vorherigen Fehler erinnert http://www.mcseboard.de/cisco-forum-allgemein-38/asa-nat-probleme-138793.html und habe ganz einfach das NAT "reinitialisiert" und schon läufts wieder - sehr merkwürdig :confused::confused::confused:

Da war jemand schneller....

Die ASA bringt mich mal wieder zum Verzweifeln; eine bisher einwandfrei funktionierende Regel macht plötzlich bei einem Rechner Probleme. Folgende Situation: ich habe vom internen Netz in eine DMZ access-list outbound permit ip object-group LAN object-group DMZ access-list 100 permit tcp host ABC host XYZ eq 22 ... global (dmz) 10 a.b.c.d nat (inside) 10 access-list outbound konfiguriert. Nun erhalte ich bei einem host aus dem LAN einen portmap translation error (siehe og. Syslog ID). Alle anderen host aus dem LAN erhalten diesen Fehler nicht; die in der entsprechenden ACL gelisteten host greifen auch auf die destination zu - nur eben einer nicht, da er bereits beim NAT bzw. hier PAT hängen bleibt. Selbst PC´s, die keine Berechtigung in die DMZ haben, aber durch die ACL outbound PAT machen, haben diesen Fehler nicht. Wo setze ich nun an? Merkwürdigerweise funktioniert der Zugriff für den einen PC dann, wenn ich explizit ein static für den internen host konfiguriere - aber das kanns ja nicht sein.

Mittlerweile bin ich fündig geworden: Unable to download NAT policy for ACE

Da hast Du natürlich vollkommen recht!

access-list 100 permit tcp host 98.70.180.1 interface eq 551 access-group 100 in interface outside static (inside,outside) interface 192.168.1.1 netmask 255.255.255.255 wobei interface die outside-ip der asa ist. hast du einen pool, kannst du natürlich auch aus diesem eine adresse nehmen.

ups, meine mich erinnern zu können, dass ich gelesen habe, die flash-card würde disk0 erweitern, deshalb ist auch flash aliases to disk0. auf die einfachste idee, dass die flash card disk1 ist, bin ich dadurch nicht gekommen. DANKEEEE.

Da wird mir Angst und Bange; bei sh flash bekomme ich ja auch den Inhalt der disk0 angezeigt. Wenn ich jetzt format flash mache....wer weiß was passiert.

Moin, moin, ich habe meinen ASA´s (5520-er) je eine originale CISCO CompactFlash Card 512 MB spendiert. Leider steht der Speicher aber nicht zur Verfügung. Beim Einstecken geht die LED kurz an und erlischt aber auch kurz danach wieder. Muss ich da noch irgendwas konfigurieren?

Sieht so aus, als wenn der groupname bzw. das pw nicht übereinstimmen.

Ich hatte diese Probleme auch. Da ich aber auch blue screens hatte, habe ich am 18.08. einen Wiederherstellungspunkt gewählt (25.07.) und damit waren beide Probleme weg! (Verantwortlich für die bluesccreens war angeblich der Realtec-Treiber für die Gigabit-Karte).Zusätzlich ist aber auch der Firefox 3.0 wech und nicht wieder installiert worden. Seit dieser Zeit ist Ruhe, obwohl ich die MS-Updates wieder drauf habe. Ich weiß, klingt nicht logisch, aber ist fakt.

Zur Zeit haben die VPN-Clients uneingeschränkten Internet-Zugriff via split-tunneling. Da mir das aber ein Dorn im Auge ist, würde ich das gerne einschränken und den Internettraffic über unseren Proxy laufen lassen, der in einer DMZ steht. Nun zu meinem Verständnisproblem: kann/muss ich den Tunnelendpunkt wie bisher auf dem outside-interface (offizielle ip vom isp) lassen oder kann/sollte man den Tunnelendpunkt an der "Proxy-DMZ" (auch offiziele IP´s) enden lassen? Geht das überhaupt? Wenn ich den Endpunkt am outside-interface beibehalte ist mir schon klar, dass ich die Proxy-IP mit in die VPN-ACL´s aufnehmen muss. Ist dann zusätzlich das command [b][i]same-security-traffic permit intra-interface[/i][/b] zu konfigurieren? Der Proxy macht masquerading und somit würde ja eine andere IP am interface rausgehen, als die, die reingekommen ist. Muss dann in der group-policy überhaupt das feature IE BrowserProxy konfiguriert werden? Hat das so schon jemand gelöst oder hat ein sample?

Ist Geschmackssache; für mich ist der PDM katastrophal. Bei einfachen Regeln wie hier und ein Blick in die samples bei CISCO ist man bei der CLI auf der sicheren Seite, weil man dann weiß und sieht was man macht.

Irgendwie stehe ich gerade total auf dem Schlauch :mad: Ich habe vom internen Netz eine Regel und NAT zu einem device in einer DMZ, was prächtig funktioniert. Nun möchte ich ein weiteres internes Subnetz für den Zugriff in die DMZ zulassen. Dazu habe ich fürs NAT in die object-group des bereits funktionierenden Netztes das neue Subnetz mit aufgenommen. Dabei erhalte ich jedoch folgenden Fehler: Unable to download NAT policy for ACE Eigentlich habe ich gedacht, dass durch Hinzufügen des Subnetzes in die bestehende object-group das NAT dafür mit übernommen wird, aber Pustekuchen, es geht nicht. Wo ist mein Denkfehler? Und was ist ACE? Zum besseren Verständnis gerade ein Beispiel dazu: object-group network XYZ network-object bestehendes Netz network-object neues Netz access-list intern-nat-out extended permit ip object-group XYZ any

Habe es gerade mit einer frischen XP-Installation und Java 1.5.0_16 getestet --> gleiches Problem. Ein Bug? NEIN! Kein Bug! Habe gerade in den Release Notes zu 8.0(3) gelesen: This version supports the following products: •Cisco ASA 5500 series adaptive security appliance, Version 8.0(3) •ASDM, Version 6.0(3) Auf ASDM Version 6.0(3) umgestellt und es funktioniert wieder alles so, wie es sein sollte!!! Nur, warum CISCO bei dem SW-Download des asdm-611.bin angibt, dass es für ASA 8.0 und 8.1 ist, wissen wohl nur die selbst....

Ich habe seit kurzem folgendes Problem beim ASDM 6.1(1) mit Java Version 1.5.0_13: Suche ich über die Filterfunktion eine object-group, oder filtere ich die ACL´s über z.B. intreface, kann ich nichts hinzufügen; ein ändern oder löschen funktioniert. Wenn ich also die Filterfunktion verwende und möchte etwas hinzufügen, klicke ich z.B. und Add Access Rule auf OK passiert gar nichts, klicke ich nochmals auf den Button geht das Fenster zwar zu, aber die Regel taucht nicht auf. Lösche ich den Filter und schaue dann in den ACL´s nach, steht die Regel an entsprechender Position, habe aber weder die Möglichkeit "apply" zu wählen, noch ist diese wirklich aktiv. Dies bestätigt mir auch das CLI. Kennt einer das Phänomen? Meine letzten Änderungen waren die Installation vom IE 7 und Java 1.5.0_13. IE 7 kann ich aufgrund der Firmenvorgabe nicht löschen und die Java-version benötige ich wegen LMS 3.0 (CISCO Works). Nun habe ich noch folgendes festgestellt: Nach einiger Zeit merkt der ASDM, dass es ein Unterschied zwischen der config auf der ASA und dem ASDM gibt. Sage ich hier "refresh", ist die zuletzt im ASDM eingebene ACL nun auch wieder im ASDM verschwunden. Warte ich aber nicht solange und füge eine weitere ACL über den ASDM ohne Filterfunktion ein, schiebt er beide ACL in die ASA.

http://netzikon.net/lexikon/p/pfs-vpn.html Das habe ich Dir ja gerade in Deinem anderen thread beantwortet ;)

Kontrolliere dabei auch das nat-traversal. In der 8.0.2 wars noch ein Bug, dass dieses nach einem relaod verloren ging.... Sry, habe ich übersehen... Standardmäßig verwendet der Tunnel FQDN als identy. Also macht es auf jeden Fall Sinn. Bin damit mal bei einer site-to-site auf die Nase gefallen.... So genau kann ich Dir das auch nicht erklären, aber bei NAT und VPN gibts Probleme. Also immer schön das nat-traversal konfigurieren... Zur Info: http://onair.funkwerk-ec.com/brueckenschlag_zwischen_nat_und_ipsec.html

siehe meinen Nachtrag oben zu nat-traversal!

Kontrolliere mit sh run | i boot das boot image und korrigiere es gegebenenfalls so boot system disk0:/asa803-k8.bin Wenn Du den ein-und ausgehenden Verkehr siehst, sollte doch mit split-tunneling allles ok sein... Dann hast Du nat-traversal deaktiviert; zum aktivieren: isakmp nat-traversal 10 siehe oben