hegl

Nach Einspielen von SW-Updates neue Features einrichten und teilweise auch troubleshooting. – Danke, aber ich habe ne ASA und keine Zyxel. Es geht mir nicht nur drum dass es geht, sondern auch wie. Ich kenne auch Citrix nicht aus Erfahrung, weiß aber dass da mit PlugIn´s gearbeitet wird. Wie sieht das bei der ASA aus?

Es kommt hin und wieder vor, dass externe Administratoren Zugriff auf Server in unserem Netz haben müssen. Teilweise erfolgt das mittels WebEx, Netviewer etc., die von diesen Admins zur Verfügung gestellt werden. Es gibt aber auch Admins, die nicht über solche Tools verfügen und da muss ich dann immer eine VPN-Verbindung konfigurieren. Was aber ist, wenn der Admin dann den VPN-Client nicht hat? Da die ASA ja auch über SSL-VPN zu erreichen ist stellt sich mir die Frage, ob das nicht eine Möglichkeit wäre, ext. Admins z.B. eine RDP-Verbindung auf einen internen Server zu ermöglichen. Leider habe ich hiervon NULL Ahnung. Ist dies eine sinnvolle Alternative? Was mich ich dazu tun? Hat jemand ein sample?

Der ASDM ist zumindest für die Grundkonfiguration so was von selbsterklärend, dass eigentlich jedes Handbuch sinnlos ist. Es sei denn man weiß nicht, was configuration heisst. In diesem Metier wirst Du wohl über übel nicht über einige grundlegende Englischkenntnisse auskommen, so dass ich Dir rate, zuerst einmal einen Englischkurs zu besuchen.

Wir auch, deshalb kommt bei uns als Low-Cost nur noch Linksys ins Haus ;)

PPTP-Passthrough sollte eigentlich jeder 08/15-Router unterstützen und zur Nutzung dieses eher unsicheren Features ist es vollkommen egal, ob man einen Netgaer, D-Link (oder was weiß ich was es da noch für böse Wörter gibt) nimmt.

Bist Du sicher, dass die "Platzprobleme" von den Updates kommen? Meine 223 über WSUS installierten Deinstallationinformationen belegen mal gerade 843 MB Plattenplatz...

Bei den aaa-commands kannst Du keine object-group anziehen, hier muss man auf die IP´s oder eine ACL verweisen.

Kerpen, Rheinland? Dann würde sich doch Netcologne anbieten... ...und in der Pampa mieten die sich einfach einen auf ihre Verantwortung.

Hatte ich bereits getestet, geht aber auch nicht (ja, auf der ASA hatte ich dann auch entsprechend die Einträge gesetzt ;) ). Im debugging sehe ich: %PIX|ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = X.X.X.X : user = testuser Ist egal, welchen User ich teste, immer das gleiche Ergebnis :mad: Er zeigt mir ja den richtigen Server und User an, d.h. der Befehl für die authentication-server-group stimmt.

Ich eröffne den Thread http://www.mcseboard.de/cisco-forum-allgemein-38/l2tp-asa-2-133173.html hier noch mal neu, da meine neuen Infos immer hinten dran gehangen werden und man nicht sieht, dass was Neues dazu gekommen ist. Also: Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"... ...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht. Habt Ihr eine Idee?

Christopher Miller's random thoughts: Work around for KB938371 disabling HID-compliant input devices

Ich mache mittlerweile auch fast alles über den ASDM, vergesse aber immer den Wizzard :rolleyes: SDM oder PDM habe ich nie genutzt. Zu meinem Problem: der Wizzard setzt keinen anderen commands, wie in dem sample angegeben, ergo funzt es genauso wenig :confused: Bleibt mir wohl nichts anderes übrig, als mal einen Spezi einzukaufen... ...und das für wahrscheinlich 5 Minuten Arbeit. – Kommando zurück! Beim Entfernen der über den ASDM konfigurierten comamnds sind wohl irgendwelche Dinge nicht wieder sauber rausgeschmissen worden. Nach Wiederherstellung der vorher laufenden conf und Konfiguration des L2TP-Tunnels mit dem Wizzard funzt der Tunnel :) Einziges manuelles Eingreifen war noch das Deaktivieren von PFS. – Bin jetzt zur weiteren Konfiguration übergegangen und stehe schon wieder vor einem Rätsel. Getestet habe ich im ersten Schritt mit einer lokalen Authentifizierung. Jetzt würde ich das gerne gegen meinen ACS machen und erhalte keine Verbindung. Der ACS meldet mir "key mismatch"... ...häääh? Verstehe ich nicht ganz, denn ob ich nun den IPSec-Client über diese Authentifizierung steuere oder den L2TP-Client dürfte doch Jacke wie Hose sein, oder? Ich terminiere beide Verbindungen über die ASA, beim reinen IPSec geht´s, beim L2TP nicht. :confused::confused::confused: Habt Ihr eine Idee? – Warum wird das immer hinten dran geschrieben???

Nöö, aber gute Idee ;) ist halt das Problem wenn man von der PIX das CLI gewöhnt ist ...

Wieder der alte Zustand mit den ersten Fehlermeldungen. Im wireshark sehe ich als letztes ISAKMP Identy Protection (Main Mode) , dann versucht der Client den Quick Mode worauf die ASA mit zwei ISAKMP Informational antwortet. Aber hier ist nichts weiter zu entnehmen :mad:

Mit ner öffentlichen IP direkt auf der Providerstandleitung klappts auch ned :confused: Fehler 678: Der Remotecomputer antwortet nicht!

Habe es doch noch mal eben mit den Registry-Einträgen probiert, weil die bei meinem XP-System nicht vorhanden waren. Jetzt scheinen gar keine Anfragen mehr bis zur ASA (Version 8.0.2) durchzukommen. Auf der ASA sehe ich jedenfalls nichts und der Client steht so ne halbe Minute bei "Verbindung wird hergestellt mit xxxx" und bricht dann ab. Na ja, kommt Zeit, kommt Overath :D:D:D

gezwungen... Ich denke bei XP hat sich das mit der Registry erübrigt!? Verstehe ich nicht ganz: highest ID habe ich, weil ich die gleiche map, wie die für IPSec verwende. Oder ist hier bereits dann der Hund begraben und ich muss eine extra map konfigurieren? Was meinst Du mit "als wie in der gebundenen map am Interface (outside) auch" Mache ich am Montag, die können mich jetzt alles mal :p Schon mal besten Dank für die Hinweise.

Was meinst du denn mit Gegentest? Jawohl, der Client ist hinter einem NAT-Device. Meinst Du ich sollte mal auf L2TP-Passthrough checken?

Ich muss auf unserer ASA, L2TP over IPSEc einrichten. Dabei habe ich mich an das sample L2TP Over IPsec Between Windows 2000/XP PC and PIX/ASA 7.2 Using Pre-shared Key Configuration Example - Cisco Systems gehalten. Leider funktioniert´s nicht ganz. Die Pase 1 wird noch als completed gemeldet, doch dann erhalte ich den syslog 713177: Error Message %PIX|ASA-6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address, Protocol protocol, Port port Explanation A Phase 2 ID payload containing an FQDN has been received from the peer. Recommended Action None required. [/b] Anschließend kommt die Meldung: %PIX|ASA-3-713902 descriptive_event_string This system log message could have several possible text strings describing an error. This may be the result of a configuration error either on the headend or remote access client. Da der FQDN aber nicht offiziell ist, habe ich bei den IKE Parameters die Option "Identity to be sent to Peer: address" gewählt, was auch bei den IPSec-Clients bestens funktioniert. Da dies eine globale Einstellung ist, wundert es mich sehr, dass bei L2TP over IPSec die ASA den FQDN erhält. Habt ihr ne Ahnung, an was das liegen könnte?

Danke schon mal. Ich denke ein 64Bit-OS ist wirklich zur Zeit noch Zukunftsmusik und für meine Zwecke reicht das 32 Mbit-OS vollkommen aus!

Hallo, ich suche gerade Argumente, welches OS vorzuziehen ist. Eigentlich sehe ich im Moment für die 64Bit-Version von Vista nur die erweiterte RAM-Nutzung als Vorteil. Aber ist das wirklich ein Vorteil, wenn die meiste SW nicht mehr als 2 GB unterstützt? Negatives lese ich immer wieder über Treiberprobleme, was mich natürlich zur Vorsicht zwingt. Für einen neuen PC, der mit einem Q6600 und 4 GD RAM ausgestattet werden soll, weiß ich nicht so recht, welches OS ich nehmen soll. Hauptsächlich wird nur mit Office und Adobe´s Photo Shop Elements 6 bzw. Permiere Elements 4 gearbeitet. Habt Ihr Erfahrungen und könnt was berichten?

Systemwiederherstellung? Recovery?

Ohne eine Info, wie die Netze verbunden sind und wie die Einwahl und die Authentifizierung aussieht, können wir auch "Rate mal mit Rosenthal" spielen. :confused::confused::confused:

Das würde mich allerdings auch interessieren. Habe ich mir auch noch keine Gedanken drüber gemacht, sollte man allerdings wissen!

Habe ich mir fast gedacht... ...leider habe ich damit auch (noch) keine Erfahrung - sorry. Die samples sind aber eigentlich so, dass es funktionieren sollte. Vielleicht kontrollierst du nochmals die ACL´s. Gibts denn keine Fehlermeldung?