Jump to content

hegl

Abgemeldet
  • Gesamte Inhalte

    704
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von hegl

  1. Hi Nils,

    vielen Dank, für das Licht im Tunnel.
    Mit der ungünstigen DNS-Konfiguration meinst Du bestimmt die Wahl des AD-DomainName?

    Ich will aber auch nicht, wie Du schreibst, die Namensauflösung eines Clients prüfen, sondern das Vorhandensein ein offiziellen DNS-Records. Dazu teste ich halt mit meinem NB außerhalb unserer Domäne an einem simplen DSL-Anschluss eines beliebigen Providers ab und an einen Domainnamen. Und heute fällt halt auf, dass ich für jede Domain dieselbe Adresse zurückbekomme. Und das war m.E. nie so!

    Wenn intern eine Webaufruf einer externen Domain (wie zB. www.heise.de ) nicht funktionierte, habe ich so immer die Möglichkeit gesucht, das ohne unsere Security-Elemente zu testen - so wie ein Standard-User zu Hause. Somit konnte ich immer unseren Proxy ausschließen. Wenn´s extern auch nicht funktioniert hat, habe ich dann immer das Vorhandensein des A-Records mittels nslookup getestet. Nur wenn jetzt immer unser DNS-Suffix angehangen wird, ist das hinfällig.

  2. Ich will nichts Bestimmtes erreichen, sondern mittles nslookup Auflösungen überprüfen. Und wenn ich jedesmal die gleiche IP-Adresse zurück erhalte, ist das für´n Popo. Merkwürdigerweise funktioniert das Surfen im Browser einwandfrei, d.h. unsere MobileUser können extern störungsfrei arbeiten.
    Hier stellt sich dann natürlich die Frage, wieso?

  3. Moin,

    ich habe den Morgen damit verbracht, Lösungen zum o.g. Problem zu finden - leider erfolglos.
    Wir habe eine interne AD-Domain firma.de , die extern aber existiert und nicht uns ist. Wie wir nun feststellen, hängen die Rechner, die an freien DSL-Anschlüssen betrieben werden (wie zB. bei MobileUsern) bei einem nslookup immer, also auch bei vollständigem FQDN, unseren DNS-Suffix an und somit bekommen wir für jede Abfrage die gleiche IP-Adresse zurück. Intern haben wir keine Probleme.

    Wir sind uns eigentlich sicher, dass dies bis vor kurzem noch nicht so war und glauben, dass evtl. ein Update uns in diese Lage gebracht hat. Hat hier jemand nähere Infos?

    Mal gerade die AD ändern ist nicht machbar und so suchen wir natürlich eine praktikable Lösung.

    Alle Clients (XP, WIN7) sind gleich konfiguriert (siehe Anhang)

    post-35665-0-72016500-1364977284_thumb.png

  4. Ich habe das im Anhang gezeigte Netz und möchte nun von LAN-A nach LAN-C zugreifen. Das Problem ist hier, dass auf der Standleitung der beiden Router nur Quell-Adressen aus LAN-B nach LAN-C dürfen. Die Firewall (Cisco ASA) am LAN-B habe ich selber im Zugriff, weiß aber nun nicht, wie ich das genau umsetzen soll. Ich muss ja irgendwie die Adressen aus LAN-A hinter denen aus LAN-B verstecken, sprich also an der ASA NAT-ten. Nur wie? Die Router habe ich nicht im Zugriff.post-35665-0-53445400-1359960837_thumb.jpg

  5. Gibt es irgendwo Vorgaben/Empfehlungen (BSI oder sonstwo), was bei Remote Access VPN freigegeben werden soll/darf? Nach meinem Verständnis sollte nicht das gesamte LAN oder Servernetz freigegeben werden. Bei uns überlegen die Verantwortlichen aber genau gerade das. Jetzt suche ich Hinweise, um diesen Leuten mal was vorzulegen, denn der kleine Mitarbeiter hat ja nur seine Meinung und ist nachher auch noch der Dumme, weil er es so konfiguriert hat bzw. konfigurieren musste.

  6. Ich habe auf kürzlich in Betrieb genommenen ASA5505 die Version 8.2(5) laufen; den ASDM mit 6.4(5).

    Jetzt stelle ich fest, dass beim Hinzufügen des Namens eines bereits bestehenden Hosts, die ACL gelöscht wird. Heisst also, dass ich eine ACL mit Source-IP und Destination-IP aktiv habe. Wenn ich nun in den Network-Objects der IP einen Namen zuweise wird die ACL gelöscht und muss dann die ACL mit dem Hostname neu anlegen.

  7. Dann mach eine tunnel wie immer und eben je nach dem wie dein bestehendes NAT Setup aussieht eben no-nat.

    Jepp, das wollte ich hören :)

     

    Welchen Sinn macht aber der Tunnel an sich ? Securitygewinn ist es imho keiner, knnte mir nur vorstellen das du die DMZ Adressen im LAN/MPLS nicht geroutet haben will/kannst

    Der Kunde macht die Vorgaben. Wir haben die notwendige Infrastruktur auf dem Campus und machen das LAN auf Layer2 und eben die eine Firewall - Rest machen andere.

  8. Ich habe bis jetzt immer ein VPN von inside Richtung outside konfiguriert. Jetzt habe ich eine Struktur vorliegen, wo ich aus einer DMZ heraus ein VPN über das LAN (also von Security-Level 50 über Security-Level 100) konfigurieren muss. Ist hier etwas besonderes zu beachten, speziell in Bezug auf NAT bzw. NAT-NULL? Im üblichen Fall konfiguriere ich eine ACL mit NAT-NULL eine eine ACL für den traffic der encrypted Domains. Muss ich jetzt hier, wenn ich ein VPN aus einer DMZ heraus hinter eine höherwertige Zone per VPN zugreifen muss, mit static arbeiten?

  9. Du hast den Fehler noch nicht beschrieben?

    Der Fehler lag darin, dass die Standby-Unit immer im Staus "failed" war.

    Habe eben noch einmal alles resettet, neu konfiguriert und jetzt läuft´s. Was ich aber nicht verstehe ist, dass beim Hochfahren von der Standby-Unit automatisch auf diese umgeschaltet wird:

    Beginning configuration replication: Sending to mate.
    End Configuration Replication to Mate
    Waiting for the earlier webvpn instance to terminate...
    Previous instance shut down: Starting a new one.
    
             Switching to Standby

  10. Ich verzweifel gerade an der der failover-config bei der ASA5505.

    Hierbei gehe ich nach der Doku LAN-Based Active/standby Failover Configuration vor, kriege es aber nicht hin. Im Gegensatz zu der 5510 oder 5520, wo ich Statefull-Failover produktiv habe, kann ich hier ja nur Staeless-Failover machen.

     

    Dazu habe ich bisher folgendes konfiguriert:

    failover
    failover lan unit primary
    failover lan interface failover vlan999
    failover key ***
    failover interface ip failover 172.16.1.1 255.255.255.0 standby 172.16.1.2

    Weiterhin habe ich das VLAN999 einem Interface zugewiesen und aktivert.

     

    Für die secondary bin ich (nach einem write erase) anlaog vorgegangen und habe beide interface über einen Switch gekoppelt Wo ist mein Fehler?

  11. Ich habe mir einen HP Office-Jet 4500 mit WLAN zugelegt, auf dem ich auch über WLAN drucken kann. Leider taucht dieser Drucker bei keinem meiner 3 Rechner (2 x Win7 64 Bit, 1 x WIN7 32 Bit) im Druckmanager bzw. unter Geräte und Drucker auf, so dass ich diesen auch nicht als Standard definieren kann. Über die Applikationen wie Word, Excel usw. kann ich den Drucker jedoch auswählen und - wie gesagt - auch drucken. Ist diesen Verhalten normal?

     

    P.S. Wenn ich im falschen Forumbereich bin --> sorry. Aber ich denke, es geht hier eher um WLAN als um den Drucker selbst.

  12. So, Rätsel gelöst: Für die neue Generation der Vodafone UMTS-Sticks müssen wir für WIN7-Clients ein DNE-Update installieren, was in unserer Basis-Installation vorgesehen ist. Und genau dieses Update zerhackt irgendetwas :cool:

     

    Habe das jetzt ein paar Mal deinstalliert und wieder installiert und kann das daran nachvollziehen.

     

    Jetzt habe ich natürlich ein Problem: entweder kann ich mit UMTS surfen oder aber den ASDM nutzen - beides zusammen geht nicht. :(

  13. Es wird immer mysteriöser, aber ich konnte das Problem jetzt auf die Kombination Notebook - neue ASA´s beschränken.

     

    Wen´s interessiert:

    - Notebook A mit den neuen ASA´s geht nicht. Notebook A mit produktiven ASA´s geht.

    - Rechner B geht mit allen ASA´s,

    - Notebook C geht mit allen ASA´s

     

    Nun den ASDM auf Notebook A deinstalliert, NB neu gestartet, ASDM neu installiert und das gleiche in grün. :confused::confused::confused:

     

    A ist Win7 32 Bit, B ist Win7 64 Bit und C ist WinXP 32 Bit.

  14. Das ganze solltest du halt bei euser machen der nicht gerade am ASDM angemeldet ist bzw den du gerade selber verwendest

    Das mache ich natürlich auch ;) aber es funktioniert nicht. Das merkwürdige ist, dass ich eine 5520 mit den gleichen SW-Versionen (ASA & ASDM) in Betrieb habe, bei der das einwandfrei funktioniert.

     

    Selbst ein write erase und Neukonfiguration bringt keine Änderung und das bei drei verschiedenen ASA5505 :confused::confused::confused:

  15. So, konnte jetzt endlich mal weiter machen.

     

    Nochmals zur momentanen Situation: Grundinstallation mit ein paar ACL´s, Zugriff über Console und ssh, sowie ASDM funktionieren auch. Hier die relevanten Befehle:

     

    aaa authentication ssh console LOCAL

    aaa authentication http console LOCAL

    aaa authentication enable console LOCAL

    username abc password abc

    Laut ASDM hat dieser User den Level 2

     

    Nun möchte ich für einen weiteren User nur bestimmte Befehle zulassen. Wenn ich nun dazu

    aaa authorization command LOCAL
    eingebe, läuft der ASDM nicht mehr. Wenn ich den Userlevel dann auf 15 setze, startet zwar der ASDM, aber er lädt die config nicht und ich bekomme die oben als erstes genannte Fehlermeldung (....60 sec....).

     

    Mein Ziel ist also meinen User für ASDM und SSH zu konfigurieren und einen anderen nur für bestimmte Befehle, wie z.B.

    privilege show level 5 mode exec command interface

     

    Wer kann helfen bzw. hat eine Beispiel-Config?

×
×
  • Neu erstellen...