hegl

Moin, moin, sehe mal wieder den Wald vor lauter Bäume nicht... Habe ein funktionierendes EasyVPN, lokal 10.10.10.0 und remote 192.168.10.0. Die remote hosts können auch auf die benötigten Ressourcen zugreifen. Jetzt möchte ich aber per http aus meinem LAN (10.10.10.1) auf einen Netzwerkdrucker (192.168.10.1) im Remote-LAN zugreifen. Ich erhalte weder eine Fehlermeldung, noch kann ich zugreifen. Auf dem EasyVPN-Client sehe ich die Pakete nicht ankommen, auf dem EasyVPN-Server sehe ich aber die Anforderung. Wo liegt der Fehler in meiner config? ip local pool test-pool 172.16.222.1-172.16.222.3 mask 255.255.255.0 access-list inside_out permit tcp host 10.10.10.1 host 192.168.10.1 eq 80 access-list nat0 extended permit ip host 10.10.10.0 host 192.168.10.0 access-list vpn extended permit ip host 10.10.10.0 host 192.168.10.0 access-group inside_out in interface inside nat (inside) 0 access-list nat0 group-policy TEST internal group-policy TEST attributes wins-server value XXX dns-server value XXX vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpn default-domain value test.de split-dns value test.de nem enable unnel-group TEST type remote-access tunnel-group TEST general-attributes address-pool test-pool authentication-server-group VPN_Auth default-group-policy TEST

Wenn ich das also richtig verstehe, wird das DF Bit bereits an der Quelle (in diesem Falle der TerminlaServer) gesetzt. Wenn also zuerst alles problemlos lief und plötzlich nicht mehr, obwohl an den VPN-Peers nichts verändert wurde, liegt die Vermutung nahe, dass am TerminalServer das DF Bit gesetzt worden ist (wodurch auch immer, ggf. durch ein update?). Damit wäre ich als Netzwerkverantwortlicher "freigesprochen", obwohl ich die letzten Wochen die Prügel bezogen habe und die Ursache ist wirklich im Client/Server-Bereich zu suchen?

Du hast natürlich recht...oh man, ich gehe in Rente... DANKE!

Hat einer eine genaue Erklärung was die Unterschiede zwischen den wählbaren Optionen Copy, Clear, Set in der DF Bit Policy sind und welche Auswirkungen dies hat? Als Nachtrag: ich hatte das Problem, dass durch den Tunnel (site-to-site) von extern nicht auf einen Rechner bei uns per RDP zugegriffen werden konnte; ssh, telnet oder andere Dinge liefen. Nach Umstellung der PIX auf die ASA und Wahl der o.g. Option Clear (Standard ist Copy) funktioniert nun auch RDP. Irgendwie hängt das aber auch wohl mit einem Patch auf dem WIN2003-Server mit dem Update MS05-19 zusammen. Nur verstehen tu´ ich es nicht :-(

man lernt doch immer wieder dazu :)

ASA 5520, aber was hat denn die Lizenz damit zu tun, ob ich zwischen NAT und NO-NAT trennen kann?

Sry, das war wohl der Stress...:mad:

Bin gerade am verzweifeln. Habe heute morgen unsere PIX gegen eine ASA getauscht. Leider konnte ich die config nicht übernehmen, so dass ich alle ACL´s etc neu konfiguriert habe. Nun habe ich ein Problem dass keine Verbindung von inside in die DMZ machen kann. In die DMZ kann ich kein NAT machen, heisst also, dass die inside-IP´s in der DMZ gelten sollen. Nach draußen funktioniert alles. Folgendes habe ich konfiguriert (vereinfacht): access-list 100 permit ip NetzA any access-list 200 permit tcp User_Intern Webserver_Internet eq www access-list 200 permit tcp User_Intern DMZ_IPAdressen global (outside) 10 interface nat (inside) 10 access-list 100 static (inside,DMZ) inside-Netz inside-Netz netmask 255.255.255.0 access-group 200 in interface inside Was mache ich falsch? Was ich also möchte ist von inside nach outside mit NAT, von inside in die DMZ ohne NAT.

Ich war im letzten Jahr in Berlin auf ´ner ASA-Schulung. War alles gut organisiert, Schulungsraum im NH-Hotel und der Trainer war auch top. In diesem Jahr war ich mal bei Globalknowledge in Frankfurt. Schulungscenter klasse, Organisation - na ja - ok, aber der Trainer konnte kaum spezielle Fragen beantworten.

Was muss ich ändern, wenn ich eine feste IP vom Provider habe? Gibts bei CISCO nicht irgendwo einen Link, wo die sample-configs vom Router aufgelistet sind (analog zur PIX/ASA)?

Bei meinen 5520-er habe ich mit SW-Update 8.0 automatisch die SecPlus erhalten...

Für diejenigen, die es interessiert: In der CISCO-Doku steht beim stateful failover weiterhin This interface must not be used for any other purpose, except, optionally, as the failover link. Vielleicht fehlt dieser Passus einfach vorher bei der Beschreibung des failover interface?!

Hallo, ich verzweifele gerade an der active/standby Konfiguration. Dazu habe ich sowohl meine Kursunterlgen als auch ein pdf von CISCO vorliegen (diese sind nahezu identisch). Wenn ich das failover-interface definieren möchte failover lan interface Failover GigabitEthernet0/1.10 erhalte ich die Fehlermeldung ERROR: Can not configure failover interface on a shared physical interface obwohl laut CISCO: The if_name argument assigns a name to the interface specified by the phy_if argument. The phy_if argument can be the physical port name, such as Ethernet1, or a previously created subinterface, such as Ethernet0/2.3. dies möglich sein soll. Weiss jemand Rat?

Sowas nennt man im CLI --> command line interface no access-list NoNat permit ip 192.168.16.0 255.255.255.0 192.68.1.0 255.255.255.0 no access-list 101 permit ip 192.168.16.0 255.255.255.0 192.168.1.0 255.255.255.0 no crypto ipsec transform-set myset esp-3des esp-md5-hmac no crypto ipsec transform-set chevelle esp-des esp-md5-hmac no crypto dynamic-map dynmap 10 set transform-set myset no crypto map mymap 10 ipsec-isakmp dynamic dynmap no crypto map transam 1 Also bevor Du Dich noch nicht einmal mit den basics auskennst, solltest Du vielleicht einmal das manual lesen!

Bezgl. Router oder ASA?

Den Zugriff auf unsere ASA steuere ich mittels ACS und ssh. "Leider" komme ich nicht direkt in den enable-modus, sondern muss mich da explizit anmelden. Besteht hier die Möglichkeit, analog zu Switchen und Routern, direkt in den enable-modus zu gelangen? Wie konfiguriert man dies dann?

Wie ist Dein Test ausgefallen? Vielleicht kannst Du mir einen Tipp geben, bei mir läufts nämlich nicht. Der Tunnel steht, mehr aber auch nicht. . access-list nat0_outbound extended permit ip object-group Server 172.16.222.0 255.255.255.252 access-list 100 extended permit tcp object-group Server 172.16.222.0 255.255.255.0 ip local pool testpool 172.16.222.1-172.16.222.2 mask 255.255.255.0 nat (ISK) 0 access-list nat0_outbound group-policy testsplit attributes wins-server value XXX dns-server value XXX vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value 100 default-domain value test.de split-dns value meinefirma.de tunnel-group testsplit type remote-access tunnel-group testsplit general-attributes address-pool testpool authentication-server-group ACS_Auth default-group-policy testsplit tunnel-group testsplit ipsec-attributes pre-shared-key *

An diesem Problem sind wir bei uns auch schon verzweifelt. Angeblich ist das aber auch in dieser Konstellation nicht machbar Wenn Du in den Order mappings auf dem ACS die Reihenfolge der Abfrage änderst, gehts genau andersherum: Die Switchauthentication läuft, aber wireless funzt nicht mehr.

THX, fahre aber mittlerweile Version 6 - habs dort aber auch mittlerweile gefunden. :) Was mich allerdings wundert ist folgendes: Lege ich mit dem VPN Wizzard ein RA VPN an, erhalte ich beim Einrichten von split-tunneling folgende Meldung: "You cannot select groups when you configure split tunneling" Was ich bezwecken möchte ist, dass die RA-User nur auf eine bestimmte Gruppe Server (konfiguriert als network access-group) zugreifen dürfen. Wieso muss ich die einzeln angeben und kann die Gruppe nicht verwenden?

Unter welchem Menuepunkt stellst Du das bei der ASA denn ein? Irgendwie habe ich Tomaten auf den Augen :rolleyes:

Verstehen tu´ ich es auch nicht. Hier ein Beispiel aus der command reference: The following example shows sample output for the show crypto engine command: pixfirewall# show crypto engine Crypto Engine Connection Map: size = 8, free = 6, used = 1, active = 1 In this command output, size is total number of undirectional IPSec tunnels, free is the number of unused undirectional IPSec tunnels, used is the number of allocated undirectional IPSec tunnels, and active is the number of active undirectional IPSec tunnels. Because tunnel 0 is reserved for system use, size is equal to free plus used plus one.

Das wollte ich Dir gerade vorschlagen, mal das failover zu deaktivieren.

interface ethernet3 vlan100 physical interface ethernet3 vlan101 logical interface ethernet3 vlan102 logical nameif ethernet3 AAA security 80 nameif vlan101 BBB security 70 nameif vlan102 CCC security 60 ip address ethernet3 10.1.100.1 255.255.255.0 ip address vlan101 10.1.101.1 255.255.255.0 ip address vlan102 10.1.102.1 255.255.255.0

Dann schau mal, ob die Rechner die nicht abbrechen, mit IPSec over UDP laufen und die, die abbrechen, nicht...

Nutzen sie das denn auch? Schau mal bei einer aktiven Verbindung im Client in die Statistik, dort siehst Du den Transport Modus.