hegl

 

Du kannst ausprobieren, was im jeweiligen Level möglich ist, mit "enable [Modusnummer]", also z.B. "enable 0".

 

 

Fu

werde ich ausprobieren!

schon mal recht herzlichen dank!

Wer hat eine Auflistung, welche Befehle bei einem Switch (29xx, 35xx) in dem jeweiligen Privilege Level verfügbar sind?

Wo willst Du denn terminieren? Router oder PIX?

THX !

Jetzt habe selbst ich es verstanden :D :D :D

Na ja, bis jetzt habe ich es immer noch nicht verstanden!

Mal zur Sachlage: wir wurden von einer Domain mit Emails bombadiert und unser Mailgate war schön beschäftigt. Also habe ich deny auf die besagte IP konfiguriert, aber es änderte sich nichts. Dann habe ich erst einmal das permit auf Port 25 für dieses Mailgate gelöscht, danach zuerst den deny auf die besagte IP und anschließend wieder permit auf den Rest und schon wurde es geblockt. Das sagt mir also: steht das deny hinter dem permit ist es nicht von Bedeutung, da bei dem ersten zutreffenden Ereignis (also permit) die PIX aussteigt. Steht aber das deny an erster Stelle wird es auch angezogen und kein Mail von dieser IP gelangt mehr zum Mailgate!

Aber wie gesagt: ich meine mich zu erinnern mal gelernt zu haben, dass die PIX die access-lists durcharbeitet und nicht beim first match aussteigt.

Was ist denn nun richtig?

Hi,

das sollte normalerweise jeder wissen, der sich mit einer PIX befasst, aber jetzt gerate ich etwas ins Schleudern. Bis heute bin ich eigentlich davon ausgegangen, dass eine PIX - im Gegensatz zu einem Router - nicht beim first match aussteigt, sondern die config durchgeht.

Wer weiss mehr?

THX.

Neues Profil - negativ!

IE deinstalliert, neu installiert - hurrrrrrraaaaaaaa :) :) :)

THX

Die Kurzfassung:

D A N K E :) :) :)

ssh hört sich erstmal ganz gut an.

Habe gerade was bei CISCO über

management-access mgmt_ifc

gelesen. Ist dieses auch dafür verwendbar?

Was gibt es für Lösungen eine PIX aus der Ferne, sprich aus dem Internet heraus, zu administrieren? Per Modem auf die Console? Per VPN über ein anderes internes device?

Wer hat Erfahrung und kann was empfehlen?

Thx

Nachdem ich nun mehrere VPN´s erfolgreich laufen habe, stehe ich erneut vor einem Problem: Ich muss einen weiteren Tunnel realisieren, der für die Phase 1 (Main Mode) die gleichen properties beinhaltet - bis auf die lifetime - wie ein bereits bestehender Tunnel.

Dazu habe ich folgende Einträge:

alt:

isakmp policy 30 authentication pre-share

isakmp policy 30 encryption 3des

isakmp policy 30 hash sha

isakmp policy 30 group 2

isakmp policy 30 lifetime 28800

neu hinzu:

isakmp policy 40 authentication pre-share

isakmp policy 40 encryption 3des

isakmp policy 40 hash sha

isakmp policy 40 group 2

isakmp policy 40 lifetime 86400

Im log der PIX sehe ich aber, dass die policy 30 angezogen wird ( ISAKMP (0): atts are acceptable. Next payload is 0). Bekomme ich dann keine Probleme mit der lifetime, wenn die Gegenseite ihren Wert auf 86400 eingestellt hat?

Weiter habe ich dann das Problem, dass der Tunnel nicht aufgebaut wird:

crypto_isakmp_process_block:src:A.B.C.D, dest:W.X.Y.Z spt:500 dpt:500

ISAKMP: error, msg not encrypted

Kann ich davon ausgehen, dass hier die properties der Phase 2 nicht übereinstimmen?

Gruß

hegl

Falls es jemand interessieren sollte: Das Problem dabei lag ganz einfach an der access-list. Für einen dhcp-broadcast muss die IP-Adresse des outside-interface mit in die encrypted Domain aufgenommen werden...

...dann klappst auch mit dem Nachbar :-))

Jepp, datt süüt joot uss.

Thx

Ist es unter einem W2K-Server möglich, DNS-Einträge per Script vorzunhemen, so wie es unter Linux halt mit einer Tabelle möglich ist, oder muss man wirklich alles händig eintragen?

Problem ist auch, dass die mehr als 100 einzutragenen Hosts keiner auf dem Server konfigurierten Domäne angehören und sich somit auch nicht automatisch eintragen könnten.

hegl

Wenn die letzten Sicherheitsupdates installiert wurden, kann es dieses Problem sein:

 

http://www.mcseboard.de/tipps-links-5/internetexplorer-beendet-unerwartet-update-918899-a-96104.html

 

-Zahni

Nein, dass ist es auch nicht, da der Fehler bereits vor dem Einspielen des Patches aufgetreten ist.

Problem besteht auch weiterhin bei einem anderen User oder auch als Admin.

Werde nun mal den IE neu installieren und anschließend berichten.

Thx.

Firefox ist leider wg. Policy nicht möglich.

anbei ein Link, bei dem das Problem besteht:

Homepage der MICHAELTELECOM AG

(natürlich auch ohne Werbung zu betreiben) :-)

Hallo,

kennt jemand diese Phänomen: Bei bestimmten Internetseiten wird die Startseite kurz geöffnet und der IE schließt sich dann automatisch. Betriebssystem ist XP/SP2 mit allen Patchen. Identische Notebooks mit identischer Konfiguration haben dieses Problem nicht.

Was kann ich tun?

Zuerst einmal solltest Du genau mitteilen, was Du machen möchhtest:

1) die Büchse als VPN-Server nutzen oder

2) mittels pass through den Tunnel an einem Client im LAN enden lassen

wobei ich mir nicht sicher bin, dass diese Richtung für pass through überhaupt funktioniert

Ich kenne das Problem, wenn beim Erstaufruf eine Authentifizierung stattfinden soll.

Gibt es also irgendwo einen Proxy, eine Firewall o.ä. über die Du Deine Verbindung ins Internet startest?

hegl

Hat geklappt - merci!

Hallo Pete,

static NAT dürfte Dein Problem lösen!

Guckst Du hier: http://www.cisco.com/en/US/customer/products/ps6120/products_command_reference_chapter09186a00805fd881.html#wp1540284

Hallo,

als W2K-User konnte ich nach Installation der Admin-Tools über den Konsolenstamm mir die Snap-In für DNS oder auch DHCP hinzufügen. Nach meinem Umstieg auf XP Pro läuft dieses nun nicht mehr und ich weiss nicht, was ich installieren muss, um auch wieder in den Genuß zu kommen, DNS- und DHCP-Server über den Konsolenstamm zu managen.

Wer weiss Rat?

Thx

hallo,

 

wenn du einen tunnel einrichtest, dann kannst du auch access-list für diesen tunnel konfigurieren. dabei legst du einfach den erlaubten datenverkehr fest und jenachdem was du als quelle-ziel angibst, wird/kann dann auch der tunnel aufgebaut werden...so mache ich das...

 

lg

martin

Hi Martin,

hast Du vielleicht ein Beispiel mit einer Erklärung?

Konfiguriere ich die access-lists wie bei den samples von CISCO angegeben:

access-list 100 permit ip <lokale IP> <remote IP>

kann ich den Tunnel von beiden Seiten aus aufbauen.

Vielen Dank im voraus.

Helmut

Ist es eigentlich bei einer PIX möglich bei einem site-to-site Tunnel einzuschränken, ob der Tunnel nur von einer Seite aus aufgebaut werden darf? Bisher habe ich dazu nichts gefunden und alles samples sind so aufgebaut, dass der Tunnel von beiden Seiten aus initiiert werden darf.

Gruß und schönes WE

hegl