hegl

Dein Netz 129.5.1.0/26 ist ja nur ein Subnetz aus 129.5.0.0/16 Meines Erachtens hast du hier ein 10-Bit-Subnetting, was die IP-Adresen von 129.5.1.1 - 129.5.1.63 eingrenzt. Siehe auch Classless Inter-Domain Routing ? Wikipedia

Wer lesen kann, ist klar im Vorteil... Datei- und Druckerfreigabe für Microsoft Netzwerke ist aktiv???

Habe zwar auch eine Fritzbox, jedoch ist mir dieser Sachverhalt vollkommen fremd. Am einfachsten bei AVM anrufen oder eine Mail schreiben - die Jungs (und Mädels) sind schrecklich fitt :D und geantwortet wird auch sehr kurzfristig.

Hätte ich ja auch selbst drauf kommen können, mal nachzuschauen :rolleyes::rolleyes::rolleyes:

Um die FW definitiv auszuschließen, würde ich dort mal in die log-files schauen. Hast du ´ne ASA 5520 kannst du alles prima über den ASDM machen; auch hier mal den Packet Tracer oder den Capture Wizzard nutzen. Hast du aber ´ne PIX 520 wird´s schon etwas aufwendiger (ich habe mich stets geweigert mit dem PDM zu arbeiten und weiß daher nicht, was der alles kann). Oder was ist das für eine FW:

Für SSL warte ich nur noch auf die Inbetriebnahme der neuen Token. SSL-Lizenzen habe ich bereits, dann noch ein bissl konfigurieren und schon sind wir die SW-Clients los...aber leider mahlen hier die Mühlen etwas langsamer :cry::cry::cry:

Jepp, ASA schon durchgebootet - ohne Veränderung :mad: Da wird mir wohl wirklich nichts anderes übrig bleiben, als zu capturen. Umstellung auf TCP wäre ja nur eine Behelfslösung. Und wer weiß, welche Probleme mich da erwarten würden...

Seit letztem Wochenende haben mehrere User Probleme sich bei uns mittels VPN Client einzuwählen. Den Client bzw. Notebooks können wir ausschließen, da diese hier an 2 unterschiedlichen Provideranschlüssen funktionieren. 2 User haben mittlerweile Firmwareupdates auf ihren DSL-Routern (1 x Linksys, 1 x D-Link) gefahren und können nun wieder arbeiten. Leider mehren sich aber nun die Problemfälle und wir können dies nicht an einem bestimmten Router bzw. Modell ausmachen. Der Fehler äußert sich so, dass die User das Pop-Up für User-ID und PW erhalten und die Anmeldung dann in einen Timeout läuft. Auf unserem Tacacs-Server sehe ich aber, dass die Authentifizierung erfolgreich war; nur der Tunnel wird nicht established. Geben die User absichtlich ein falsches Kennwort ein, so wird dies auch erkannt und man wir zur Re-Authentication aufgefordert. Auf unserem VPN-Gateway, ASA5520, Version 8.2.3, ist keine Veränderung konfiguriert worden. Wo kann ich ansetzen?

Entweder müsst ihr die einrichten... oder die kommen bei Euch an... Ja watt denn nu?

Die Router unterstützen generell nur eine Client VPN-Verbindung. Es wurde zwar auch in früheren Zeiten immer mit VPN-passthrough geworben, aber verschwiegen, dass eben nur eine Verbindung möglich ist. SMC hatte (ich glaube so 2005/2006) einen DSL-Router mit 5 gleichzeitigen Client-VPN-Verbindungen auf dem Markt, aber unter fadenscheinigen Gründen wurde dieser nach kurzer Zeit schon nicht mehr verkauft (wir haben aber in der Firma noch 2 und die laufen gut :) ). Wie Kollege IThome schon sagte, musst du für solche ein Szenario eine site-to-site Verbindung herstellen.

So, der User ist aus Urlaub zurück und siehe da - keine Meldungen mehr. Aber was bitte genau hat dieses Problem mit portfast zu tun?

portfast ist raus und mac-tables gecleart...jetzt muss ich nur warten, bis der user wieder im büro ist; port ist nämlich down.

Nein, hier handelt es sich um das Privat-Notebook eines Geschäftsführers einer externen Firma, die wir per VLAN über unsere Switche versorgen. Es ist ein stinknormales MediaMarkt-Notebook mit WIN7.

Die Switche stehen 2 km voneinander entfernt....

Seltsames Phänomen: Am Switch A, (Cisco WS-C2960G-48TC-L, Version 12.2(52)SE) ist über einen access-port ein Rechner angeschlossen. Seit ein paar Tagen meldet mir nun Switch B (cisco WS-C3750G-12S, Version 12.2(44)SE5) dass er diesen Rechner auch sieht, und zwar über einen Switchport zu einem kleinen Büro-(NoName)-Switch. Switch A und B sind über 2 weitere Cisco-Switche mittels trunk verbunden. Fakt ist aber, dass der Rechner nur am Switch A angeschlossen ist und auch niemals am Büro-Switch aktiv war. Den Büroswitch habe ich schon neu gestartet, ohne Erfolg. Sobald ich den Rechner vom Switch A trenne, hören die Meldungen auf und diese Mac-Adresse ist auch nicht mehr im Netz. Ich habe schon alle adress-tables gecleart - ohne Erfolg. Sobald der Rechner wieder am Switch A angeschlossen wird, kommt es zur Meldung "Mac-address-flapping" auf Switch A und Switch B. Switch A: interface GigabitEthernet0/29 switchport access vlan 300 switchport mode access speed auto 10 100 no cdp enable spanning-tree portfast Switch B: interface GigabitEthernet1/0/7 description K7-845 switchport access vlan 300 duplex full Wo kann ich ansetzen?

...und das, obwohl ich statt DHCP-Server, DNS-Server geschrieben habe...aber man ist ja flexibel ;)

Auch hier kann ich nur sagen, dass es bei uns auch absolut ohne Probleme mit XP SP3 läuft. Wie schon gesagt:wpad nach o.g. Vorlage erstellt auf einen IIS gelegt, DNS-Eintrag konfiguriert - fertig. Clients: allesamt XP Professional mit SP3 AD: W2k und zur Zeit W2003

Häääh, oben sagst Du, dass es läuft und unten, dass es nicht funktioniert. Ja watt denn nu? :confused::confused::confused: Wir arbeiten bei uns ohne irgendeinen Registry-Eintrag (welcher ist das überhaupt) und ohne die optionale DHCP-Einrichtung. Die wpad-Datei einfach auf einem IIS abgelegt und schon läuft´s.

Für die Remote-ASA: access-list outside_cryptomap_10 permit ip host Remote-ASA-outside-IP host DNS-Server access-list outside_cryptomap_10 permit ip <Remote-LAN> <LAN-RZ> access-list 100 permit ip host Remote-ASA-outside-IP host DNS-Server access-list 100 permit ip < Remote-LAN> <LAN-RZ> Analog musst Du natürlich dies auch auf der zentralen ASA konfigurieren. Wenn das laufen sollte, kannst du die ACL´s natürlich auf die nötigsten Ports beschränken.

siehe Anhang. Könnte es - wenn es daran nicht liegt - sogar sein, dass das VPN keine Site-2-Site, sondern ein Eazy-VPN ist? Dann wäre das Verhalten normal.

http://www.mcseboard.de/windows-forum-allgemein-83/metric-registry-setzen-160624.html

Jepp, z.B. mit RSA-Security o.ä. Wenn aber jemand den Rechner mit den Zugangsdaten in die Finger bekommt, ist er direkt auf der AD. Deshalb die o.g. Zweifaktor-Authentifizierung.

Natürlich kannst Du die Authentifizierung auch gegen die AD machen. Das werden deine Netzwerker aber auch wissen. Warum sprichst DU nicht einfach mit denen? Nur würde ich Dir dann auf jeden Fall eine zweistufige Authentifizierung ans Herz legen, da Du sonst mit den Credentials für die AD von außen direkten Zugriff hättest. P.S. Vielleicht schreibst Du solch einen Beitrag zukünftig besser in den Cisco Bereich....

Prinzip ist klar, handeln wir auch so. Wusste nur Deine Aussage nicht zu deuten ;)

Stehe gerade auf der Leitung; was meinst Du damit?