hegl

Nochmals vielen Dank. ich werde mich mal auf die Suche begeben und schauen, dass ich die Doku zu nslookup finde. Das mit dem Punkt hätte mir auch selbst einfallen sollen :mad: Danke für den Hinweis :jau:

Hi Nils, vielen Dank, für das Licht im Tunnel. Mit der ungünstigen DNS-Konfiguration meinst Du bestimmt die Wahl des AD-DomainName? Ich will aber auch nicht, wie Du schreibst, die Namensauflösung eines Clients prüfen, sondern das Vorhandensein ein offiziellen DNS-Records. Dazu teste ich halt mit meinem NB außerhalb unserer Domäne an einem simplen DSL-Anschluss eines beliebigen Providers ab und an einen Domainnamen. Und heute fällt halt auf, dass ich für jede Domain dieselbe Adresse zurückbekomme. Und das war m.E. nie so! Wenn intern eine Webaufruf einer externen Domain (wie zB. www.heise.de ) nicht funktionierte, habe ich so immer die Möglichkeit gesucht, das ohne unsere Security-Elemente zu testen - so wie ein Standard-User zu Hause. Somit konnte ich immer unseren Proxy ausschließen. Wenn´s extern auch nicht funktioniert hat, habe ich dann immer das Vorhandensein des A-Records mittels nslookup getestet. Nur wenn jetzt immer unser DNS-Suffix angehangen wird, ist das hinfällig.

Hmm, wenn es um MobileUser geht, die an einem belibeigen DSL-Anschluss oder Hotspot ins Internet gehen, wird´s wohl kaum um interne Server gehen. Weiter oben hatte ich ja bereits geschrieben, dass intern alles funktioniert :cool:

Ich will nichts Bestimmtes erreichen, sondern mittles nslookup Auflösungen überprüfen. Und wenn ich jedesmal die gleiche IP-Adresse zurück erhalte, ist das für´n Popo. Merkwürdigerweise funktioniert das Surfen im Browser einwandfrei, d.h. unsere MobileUser können extern störungsfrei arbeiten. Hier stellt sich dann natürlich die Frage, wieso?

Moin, ich habe den Morgen damit verbracht, Lösungen zum o.g. Problem zu finden - leider erfolglos. Wir habe eine interne AD-Domain firma.de , die extern aber existiert und nicht uns ist. Wie wir nun feststellen, hängen die Rechner, die an freien DSL-Anschlüssen betrieben werden (wie zB. bei MobileUsern) bei einem nslookup immer, also auch bei vollständigem FQDN, unseren DNS-Suffix an und somit bekommen wir für jede Abfrage die gleiche IP-Adresse zurück. Intern haben wir keine Probleme. Wir sind uns eigentlich sicher, dass dies bis vor kurzem noch nicht so war und glauben, dass evtl. ein Update uns in diese Lage gebracht hat. Hat hier jemand nähere Infos? Mal gerade die AD ändern ist nicht machbar und so suchen wir natürlich eine praktikable Lösung. Alle Clients (XP, WIN7) sind gleich konfiguriert (siehe Anhang)

PAT reicht aus. Es ist eh "nur" eine Übergangslösung...obwohl...nichts hält länger als ein Provisorium.... Kann ich denn ein static von einem Netz auf einen Host machen?

Ich habe das im Anhang gezeigte Netz und möchte nun von LAN-A nach LAN-C zugreifen. Das Problem ist hier, dass auf der Standleitung der beiden Router nur Quell-Adressen aus LAN-B nach LAN-C dürfen. Die Firewall (Cisco ASA) am LAN-B habe ich selber im Zugriff, weiß aber nun nicht, wie ich das genau umsetzen soll. Ich muss ja irgendwie die Adressen aus LAN-A hinter denen aus LAN-B verstecken, sprich also an der ASA NAT-ten. Nur wie? Die Router habe ich nicht im Zugriff.

Gibt es irgendwo Vorgaben/Empfehlungen (BSI oder sonstwo), was bei Remote Access VPN freigegeben werden soll/darf? Nach meinem Verständnis sollte nicht das gesamte LAN oder Servernetz freigegeben werden. Bei uns überlegen die Verantwortlichen aber genau gerade das. Jetzt suche ich Hinweise, um diesen Leuten mal was vorzulegen, denn der kleine Mitarbeiter hat ja nur seine Meinung und ist nachher auch noch der Dumme, weil er es so konfiguriert hat bzw. konfigurieren musste.

Scheint so, als wär´s das gewesen. Jepp, der Haken bei InPrivate ist gesetzt.

Habe heute an einem PC, WIN7 Enterprise mit IE9 festgestellt, dass der Verlauf auch im "InPrivate"-Modus gespeichert wird. Die aufgerufenen Sites sind schon zu sehen, wenn ich mit der rechten Maustaste auf das Icon in der Taskleiste klicke -der Anwender fand´s gar nicht gut :D:D:D Woran kann das liegen?

Bingo - die Lösung liegt manchmal so nahe...DANKE.

Ich habe auf kürzlich in Betrieb genommenen ASA5505 die Version 8.2(5) laufen; den ASDM mit 6.4(5). Jetzt stelle ich fest, dass beim Hinzufügen des Namens eines bereits bestehenden Hosts, die ACL gelöscht wird. Heisst also, dass ich eine ACL mit Source-IP und Destination-IP aktiv habe. Wenn ich nun in den Network-Objects der IP einen Namen zuweise wird die ACL gelöscht und muss dann die ACL mit dem Hostname neu anlegen.

Jepp, das wollte ich hören :) Der Kunde macht die Vorgaben. Wir haben die notwendige Infrastruktur auf dem Campus und machen das LAN auf Layer2 und eben die eine Firewall - Rest machen andere.

Struktur sieht so aus: DMZ - ASA - LAN (Standort1) - MPLS - LAN (Standort2) -DMZ. Jetzt sollen die beiden DMZ´s (Brandmeldeanlagen) per VPN verbunden werden. Im Einsatz ist auf meiner Seite ´ne ASA5505 mit Version 8.2.

Ich habe bis jetzt immer ein VPN von inside Richtung outside konfiguriert. Jetzt habe ich eine Struktur vorliegen, wo ich aus einer DMZ heraus ein VPN über das LAN (also von Security-Level 50 über Security-Level 100) konfigurieren muss. Ist hier etwas besonderes zu beachten, speziell in Bezug auf NAT bzw. NAT-NULL? Im üblichen Fall konfiguriere ich eine ACL mit NAT-NULL eine eine ACL für den traffic der encrypted Domains. Muss ich jetzt hier, wenn ich ein VPN aus einer DMZ heraus hinter eine höherwertige Zone per VPN zugreifen muss, mit static arbeiten?

Es war ein Kabelfehler. Ein Switchort hatte zwar einen Link, funktionierte aber wohl nicht richtig. Und da ich beim Failover das Inside-Interface auf Monitoring stehen hatte, ist immer umgeschaltet worden. Neues Patchkabel und das Problem hat sich erledigt...

Definitiv ist die primary auch die primary, denn ich habe ja auch nur eine ASA konfiguriert, bei der zweiten habe ich ja nur die failover-Befehle gesetzt.

Der Fehler lag darin, dass die Standby-Unit immer im Staus "failed" war. Habe eben noch einmal alles resettet, neu konfiguriert und jetzt läuft´s. Was ich aber nicht verstehe ist, dass beim Hochfahren von der Standby-Unit automatisch auf diese umgeschaltet wird: Beginning configuration replication: Sending to mate. End Configuration Replication to Mate Waiting for the earlier webvpn instance to terminate... Previous instance shut down: Starting a new one. Switching to Standby

Ich verzweifel gerade an der der failover-config bei der ASA5505. Hierbei gehe ich nach der Doku LAN-Based Active/standby Failover Configuration vor, kriege es aber nicht hin. Im Gegensatz zu der 5510 oder 5520, wo ich Statefull-Failover produktiv habe, kann ich hier ja nur Staeless-Failover machen. Dazu habe ich bisher folgendes konfiguriert: failover failover lan unit primary failover lan interface failover vlan999 failover key *** failover interface ip failover 172.16.1.1 255.255.255.0 standby 172.16.1.2 Weiterhin habe ich das VLAN999 einem Interface zugewiesen und aktivert. Für die secondary bin ich (nach einem write erase) anlaog vorgegangen und habe beide interface über einen Switch gekoppelt Wo ist mein Fehler?

Ich habe mir einen HP Office-Jet 4500 mit WLAN zugelegt, auf dem ich auch über WLAN drucken kann. Leider taucht dieser Drucker bei keinem meiner 3 Rechner (2 x Win7 64 Bit, 1 x WIN7 32 Bit) im Druckmanager bzw. unter Geräte und Drucker auf, so dass ich diesen auch nicht als Standard definieren kann. Über die Applikationen wie Word, Excel usw. kann ich den Drucker jedoch auswählen und - wie gesagt - auch drucken. Ist diesen Verhalten normal? P.S. Wenn ich im falschen Forumbereich bin --> sorry. Aber ich denke, es geht hier eher um WLAN als um den Drucker selbst.

So, Rätsel gelöst: Für die neue Generation der Vodafone UMTS-Sticks müssen wir für WIN7-Clients ein DNE-Update installieren, was in unserer Basis-Installation vorgesehen ist. Und genau dieses Update zerhackt irgendetwas :cool: Habe das jetzt ein paar Mal deinstalliert und wieder installiert und kann das daran nachvollziehen. Jetzt habe ich natürlich ein Problem: entweder kann ich mit UMTS surfen oder aber den ASDM nutzen - beides zusammen geht nicht. :(

1.6.0_29, dann Update auf 30. Habe nun ´ne frische WIN7 32 Bit Installation und das gleiche in grün :cry:

Es wird immer mysteriöser, aber ich konnte das Problem jetzt auf die Kombination Notebook - neue ASA´s beschränken. Wen´s interessiert: - Notebook A mit den neuen ASA´s geht nicht. Notebook A mit produktiven ASA´s geht. - Rechner B geht mit allen ASA´s, - Notebook C geht mit allen ASA´s Nun den ASDM auf Notebook A deinstalliert, NB neu gestartet, ASDM neu installiert und das gleiche in grün. :confused::confused::confused: A ist Win7 32 Bit, B ist Win7 64 Bit und C ist WinXP 32 Bit.

Das mache ich natürlich auch ;) aber es funktioniert nicht. Das merkwürdige ist, dass ich eine 5520 mit den gleichen SW-Versionen (ASA & ASDM) in Betrieb habe, bei der das einwandfrei funktioniert. Selbst ein write erase und Neukonfiguration bringt keine Änderung und das bei drei verschiedenen ASA5505 :confused::confused::confused:

So, konnte jetzt endlich mal weiter machen. Nochmals zur momentanen Situation: Grundinstallation mit ein paar ACL´s, Zugriff über Console und ssh, sowie ASDM funktionieren auch. Hier die relevanten Befehle: Laut ASDM hat dieser User den Level 2 Nun möchte ich für einen weiteren User nur bestimmte Befehle zulassen. Wenn ich nun dazu eingebe, läuft der ASDM nicht mehr. Wenn ich den Userlevel dann auf 15 setze, startet zwar der ASDM, aber er lädt die config nicht und ich bekomme die oben als erstes genannte Fehlermeldung (....60 sec....). Mein Ziel ist also meinen User für ASDM und SSH zu konfigurieren und einen anderen nur für bestimmte Befehle, wie z.B. Wer kann helfen bzw. hat eine Beispiel-Config?