hegl

mit welchem Hintergrund ?

weils einfach übersichtlicher ist und der alte mist raus ist.

wenn ich die kiste nicht vor der nase hätte, wäre ich auch vorsichtig, da stimme ich dir zu.

mit copy tftp kannst du bei der pix keine config zurückspielen, nur images!

Das Einzige was mir im Vergleich zu meiner config auffällt ist, dass Du eine Standard ACL für die crypto-ACL verwendest. Teste doch einfach mal anstatt

access-list vpn-remoteuser_splitTunnelAcl standard permit 192.168.1.0 255.255.255.0

diese hier

access-list vpn-remoteuser_splitTunnelAcl extended permit ip object-group Hausnetz object-group VPN-Clients

Tipp: im ASDM den Real-Time-Log-Viewer verwenden, der zeigt Dir recht gut, wo etwas faul ist.

Ich würde es auch wie der Kollege phoenixcp geschildert hat machen. Die Sicherung in einem Editor öffnen und die Zeilen peu á peu wieder einspielen.

Gegebenenfalls auch mit write erase zuerst die komplette config löschen (vorher aber auch sicherheitshalber eine Kopie machen) und dann sollte man eigentlich ohne probleme die ganze config aus dem Editor einfügen können.

Wenn Du Glasfaser bis in die Hütte bekommst, solltest Du auch die volle Leistung bekommen. Wo sollte denn bei LWL noch Leistung verlorengehen, wenn Sie nicht künstlich gedrosselt wird? Wir nutzen in der Firma LWL von Netcologne und erhalten die volle Performance.

Kann es sein, dass dein XP auf einem anderen System lief? Auf meinem Notebook kann ich dies auch einstellen, bei meinem PC nicht - beide mit XP!

Heisst für mich, dass es HW-abhängig ist.

Jo, die geht ja prima, die Frage war allerdings an MYOEY gerichtet ;)

war ja auch mehr als info an MYOEY gerichtet ;)

Vista 32 oder 64 Bit?

Jo, hast ja Recht, muss man sich erst dran gewöhnen, das 64 Bit im kommen ist...

Bei mir ist es die 32 Bit-Version, die bestens läuft :)

Ich habe zwar keine Lösung für Dich, doch bei mir war die Installation unter Home Premium genauso unkompliziert, wie unter XP. Installiert habe ich das als User mit Admin-Rechten auf bisher 2 Rechnern und es läuft tadellos.

Dass die Applikation nicht startet kenne ich von XP, wenn ich die Programmgruppe verschiebe, dann müssen auch Registry-Einträge verändert werden!

Hast Du die keepalives disabled?

Wenn ja, aktiviere diese einmal!

Moin, moin,

kann mir hierzu http://www.mcseboard.de/windows-forum-lan-wan-32/vpn-ad-domaene-135623.html einer weiterhelfen und wenn, bitte auch dort antworten, damit es auch nur in einer Rubrik weiterläuft.

Liebe Mods, ich hoffe, dass ist ok so?

Der Client erlaubt nur den VPN-Zugriff, d.h. der lokale Netzzugriff wird nach dem Starten des Clients unterbunden.

DNS hatte ich auch schon überlegt und mir mit wireshark die Pakete angeschaut. Tatsächlich wird versucht versucht, den zB lokalen PC erst über unsere Domäne aufzulösen, obwohl der DNS-Suffix des VPN an erster Stelle steht. Während der VPN-Verbindung sind in den LAN-Einstellungen des lokalen Netzes die DNS und WINS-Einträge nicht mehr vorhanden; eine Auflösung (zB. mit nslookup oder ping) einer Adresse erfolgt auch über den VPN-DNS. Trotzdem sehe ich mit wireshark, dass beim Verbinden des shares eine Auflösung in dieser Art erfolgt:

host.local.de.remote-vpn-domain.de

Heisst also, wenn ich den Rechner host1 in der ADS test.de betreibe, mich dann per VPN bei zB. cisco.de anmelde, sehe ich Versuche einen Namen aufzulösen so:

host1.test.de.cisco.de

Diese Spielchen macht der PC aber nur, solange der Rechner Mitglied der Domäne ist - egal ob ich mich mit einem User an der Domäne anmelde oder nur lokal. Nehme ich den Rechner in eine Arbeitsgruppe, arbeite aber mit der gleichen IP-Konfiguration und melde mich lokal an, funktioniert alles schnellstens. :confused::confused::confused:

Eine Anforderung macht es notwendig, einen internen Client per VPN-Client (CISCO) in ein anderes Netz zugreifen zu lassen. Der Tunnel funktioniert soweit auch, jedoch habe ich Probleme beim ersten konnektieren des shares. Um ein share zu mappen vergehen ca. 3-5 min. Danach ist alles ok. Nach einem erzwungenem disconnect kann die Verbindung sofort wieder hergestellt werden. Auch wenn ich an dem Client lokal angemeldet bin, treten die Probleme auf. Erst wenn ich den Client aus der Domäne entferne, aber trotzdem mit der LAN-IP arbeite, klappt auch die Erstverbindung reibungslos. Ebenso funktioniert es prächtig, wenn ich den Client an einem DSL-Zugang betreibe. Wo liegt hier der Hund begraben? :confused::confused::confused:

Durch eine bestimmte Anforderung muss ich jetzt für einen internen host ein 1 zu 1 NAT bereitstellen. Bis dato bekamen die hosts aus einem pool die NAT-Adresse und wenn alle vergeben waren, gings mit PAT.

Also z.B.

global (outside) 10 100.10.10.1-100.10.10.19 netmask 255.255.255.0
global (outside) 10 100.10.10.20 255.255.255.0
nat (inside) 10 access-list lan_out

Um jetzt der Anforderung zu entsprechen, habe ich folgendes konfiguriert:

global (outside) 5 100.10.10.30 255.255.255.0
nat (inside) 5 192.168.168.87 netmask 255.255.255.255

Der interne host xxx.87 bekommt aber nach wie vor eine Adresse mit der NAT-Id 10. Muss ich nun erst alle NAT-Einträge löschen, damit die NAT-Id 5 als erstes steht und der interne host die entsprechende outside-Ip bekommt? :confused::confused::confused:

Man spricht einmal von static outside-nat und beim anderen von static inside-nat. Bis zu einer bestimmten 6-er Version (so wie ich mich erinnere) war bei der PIX ausschließlich static inside-nat möglich.

Einfach gesagt spricht man einen internen host beim static inside-nat über die outside-address an; beim static outside-nat spricht man über die intern-address einen outside-host an.

Nur so am Rande: Ein Neustart bewirkt manchmal Wunder...

Seit der Umstellung der ASA von 8.02 auf 8.03 habe ich Probleme beim Hinzufügen von Regeln.

So habe ich z.B. bis jetzt folgendes konfiguriert:

access-list lan_nat_outbound extended permit ip object-group intern any
access-list LAN_OUT extended permit tcp object-group LAN object-group Webserver_HTTPS eq https
global (DMZ1) 10 X.X.X.X netmask 255.255.255.0
nat (LAN) 10 access-list lan_nat_outbound
access-group LAN_OUT in interface LAN

Soweit funktioniert bis jetzt auch alles prächtig. Füge ich jetzt aber der object-group Webserver_HTTPS einen host hinzu erhalte ich beim Zugriff auf diesen host die Meldung: No translation group found...

Alle anderen Zugriffe von meinem Rechner in diese DMZ funktioniern aber weiterhin einwandfrei.

Hat einer ´ne Idee?

...

Der nette Netzwerk Assistent von Vista gibt mir legiglich den Status (nur Lokal)

 

Bei mir wird auch immer nur "lokal" angezeigt. Hat mich ein wenig irretiert, aber mein Zugang ins Internet ist einwandfrei. Also müsste mal eine Aussage her, was MS hier mit "lokal" eigentlich meint!

HY-LINE*-*co*

 

Hy-Line macht solche Geraete, einfach bei denen anrufen, sind recht nett :)

Jo, da haste Recht ;)

Ich habe sowas bisjetzt immer mit OpenVPN realisiert. Das kann man als Service laufen lassen, und funktioniert dementsprechend vollautomatisch.

 

OpenVPN on Windows notes

Ich muss aber erst einmal an den Client sprich das NB rankommen! Nur wie?

Vll. sollte der VPN Server doch eher auf dem Notebook laufen?

Jo, sehe ich eigentlich auch so.

Was mir aber nicht klar ist: wie baue ich eine Verbindung auf? UMTS? Gibt es UMTS-Router, die sich gegenseitig anrufen können?

Moin, moin,

erst einmal sry, wenn dies das falsche Forum ist.

Folgende Situation: ein Notebook mit spezieller SW muss mit einem Server (in der DMZ) kommunizieren. Das Problem hierbei ist, dass das NB in einem Messwagen irgendwo in der Prärie steht.

Was schlagt ihr hier als "sichere" Kommunikation vor?

Der SW-Hersteller könnte zwar einen VPN-Client auf dem NB direkt ansprechen, doch würde dies bedeuten, dass die Einwahl vollkommen automatisch geschehen müsste (der Messwagen ist nicht besetzt). Sicherheitstechnisch in meinen Augen nicht durchführbar.

Gleichzeitig soll aber auch die Möglichkeit bestehen, auf dieses NB bei Anforderung zuzugreifen, um ggf. Einstellungen vorzunehmen.

Meines Erachtens nach dürfte nach sicherheitstechnischen Aspekten die Verbindung nur vom Server aus ausgebaut werden dürfen.

Habt Ihr ne Idee, wie ich sowas realisieren könnte?

Bist Du sicher, dass der Tunnel steht?

Habe zwar keine Erfahrung mit dem VPN-Modul, aber bei

sh cry isa sa

sollten dir eigentlich die IKE-Peer angezeigt werden.

Axo, ds für die Aufklärung :rolleyes:

Der lustige Grüne Balken da oben rennt kontinuirlich nach rechts, bei ca. 300 Bildern à ca. 1,4 MB braucht er mal 5 Minuten.

 

XP brauchte 20 Sekunden.

20 sec für 420 MB zu importieren? Hast Du ´ne neue Schnittstelle erfunden?

Bei meinem alten XP-System wäre ich froh gewesen, wenn es die 300 Bilder in 5 min. eingelesen hätte; allerdings hatte ich auch nur USB 1.1.

Bei meinem neuen Rechner mit Vista gehts leider wegen fehlender Treiber gar nicht; da wäre ich mit 5 min. schon super zufrieden.