hegl

Wenn ich jetzt aber mit CIDR Subnetze bilde, geht das wie ?

Bzw. wozu gibts denn die CIDR Subnetzcalculatoren ?

 

129.5.1.0 /26

 

Wieviele Bits sind hier für Subnetze ???

 

Ich stehe auf der Leitung :confused:

 

Danke

Dein Netz 129.5.1.0/26 ist ja nur ein Subnetz aus 129.5.0.0/16

Meines Erachtens hast du hier ein 10-Bit-Subnetting, was die IP-Adresen von 129.5.1.1 - 129.5.1.63 eingrenzt.

Siehe auch Classless Inter-Domain Routing ? Wikipedia

Du hast es doch schon fast selber gelöst.

Gib den XP Rechner die Freigabe ...

Wer lesen kann, ist klar im Vorteil...

Bei rechtsklick auf die Platte gibt es keine Option Freigabe.

Datei- und Druckerfreigabe für Microsoft Netzwerke ist aktiv???

Habe zwar auch eine Fritzbox, jedoch ist mir dieser Sachverhalt vollkommen fremd.

Am einfachsten bei AVM anrufen oder eine Mail schreiben - die Jungs (und Mädels) sind schrecklich fitt :D und geantwortet wird auch sehr kurzfristig.

Eine "Firewall" aus dem SMB Bereich ...

Hätte ich ja auch selbst drauf kommen können, mal nachzuschauen :rolleyes::rolleyes::rolleyes:

Um die FW definitiv auszuschließen, würde ich dort mal in die log-files schauen.

Hast du ´ne ASA 5520 kannst du alles prima über den ASDM machen; auch hier mal den Packet Tracer oder den Capture Wizzard nutzen.

Hast du aber ´ne PIX 520 wird´s schon etwas aufwendiger (ich habe mich stets geweigert mit dem PDM zu arbeiten und weiß daher nicht, was der alles kann).

Oder was ist das für eine FW:

Firewall: Cisco SA 520

Für SSL warte ich nur noch auf die Inbetriebnahme der neuen Token. SSL-Lizenzen habe ich bereits, dann noch ein bissl konfigurieren und schon sind wir die SW-Clients los...aber leider mahlen hier die Mühlen etwas langsamer :cry::cry::cry:

Jepp, ASA schon durchgebootet - ohne Veränderung :mad:

Da wird mir wohl wirklich nichts anderes übrig bleiben, als zu capturen.

Umstellung auf TCP wäre ja nur eine Behelfslösung. Und wer weiß, welche Probleme mich da erwarten würden...

Seit letztem Wochenende haben mehrere User Probleme sich bei uns mittels VPN Client einzuwählen. Den Client bzw. Notebooks können wir ausschließen, da diese hier an 2 unterschiedlichen Provideranschlüssen funktionieren. 2 User haben mittlerweile Firmwareupdates auf ihren DSL-Routern (1 x Linksys, 1 x D-Link) gefahren und können nun wieder arbeiten. Leider mehren sich aber nun die Problemfälle und wir können dies nicht an einem bestimmten Router bzw. Modell ausmachen.

Der Fehler äußert sich so, dass die User das Pop-Up für User-ID und PW erhalten und die Anmeldung dann in einen Timeout läuft. Auf unserem Tacacs-Server sehe ich aber, dass die Authentifizierung erfolgreich war; nur der Tunnel wird nicht established. Geben die User absichtlich ein falsches Kennwort ein, so wird dies auch erkannt und man wir zur Re-Authentication aufgefordert.

Auf unserem VPN-Gateway, ASA5520, Version 8.2.3, ist keine Veränderung konfiguriert worden.

Wo kann ich ansetzen?

Entweder müsst ihr die einrichten...

Wir wollen / müssen 6 Subnetze einrichten ( Netzmaske 255.255.255.0 )

 

193.100.101.0 -> Projekt A

193.100.104.0 -> Projekt B

193.100.105.0 -> Projekt C

193.100.106.0 -> Projekt D

193.100.107.0 -> Projekt E

 

193.100.102.0 -> IT / TK

193.100.103.0 -> IT

oder die kommen bei Euch an...

Die Netze kommen bei uns in der IT alle auf einem Gigabit Port an.

Ja watt denn nu?

Nun die Frage an euch: Kann das sein, dass der Router damit ein erheblichen Problem hat?

Die Router unterstützen generell nur eine Client VPN-Verbindung. Es wurde zwar auch in früheren Zeiten immer mit VPN-passthrough geworben, aber verschwiegen, dass eben nur eine Verbindung möglich ist.

SMC hatte (ich glaube so 2005/2006) einen DSL-Router mit 5 gleichzeitigen Client-VPN-Verbindungen auf dem Markt, aber unter fadenscheinigen Gründen wurde dieser nach kurzer Zeit schon nicht mehr verkauft (wir haben aber in der Firma noch 2 und die laufen gut :) ).

Wie Kollege IThome schon sagte, musst du für solche ein Szenario eine site-to-site Verbindung herstellen.

So, der User ist aus Urlaub zurück und siehe da - keine Meldungen mehr.

Aber was bitte genau hat dieses Problem mit portfast zu tun?

portfast ist raus und mac-tables gecleart...jetzt muss ich nur warten, bis der user wieder im büro ist; port ist nämlich down.

Nein, hier handelt es sich um das Privat-Notebook eines Geschäftsführers einer externen Firma, die wir per VLAN über unsere Switche versorgen. Es ist ein stinknormales MediaMarkt-Notebook mit WIN7.

Hi,

 

ich würde mir mal die Verkabelung in den Büros ansehen. Evtl. hat da ein User einen "Loop" gesteckt.

Die Switche stehen 2 km voneinander entfernt....

Seltsames Phänomen: Am Switch A, (Cisco WS-C2960G-48TC-L, Version 12.2(52)SE) ist über einen access-port ein Rechner angeschlossen. Seit ein paar Tagen meldet mir nun Switch B (cisco WS-C3750G-12S, Version 12.2(44)SE5) dass er diesen Rechner auch sieht, und zwar über einen Switchport zu einem kleinen Büro-(NoName)-Switch. Switch A und B sind über 2 weitere Cisco-Switche mittels trunk verbunden.

Fakt ist aber, dass der Rechner nur am Switch A angeschlossen ist und auch niemals am Büro-Switch aktiv war. Den Büroswitch habe ich schon neu gestartet, ohne Erfolg. Sobald ich den Rechner vom Switch A trenne, hören die Meldungen auf und diese Mac-Adresse ist auch nicht mehr im Netz.

Ich habe schon alle adress-tables gecleart - ohne Erfolg. Sobald der Rechner wieder am Switch A angeschlossen wird, kommt es zur Meldung "Mac-address-flapping" auf Switch A und Switch B.

Switch A:

interface GigabitEthernet0/29
switchport access vlan 300
switchport mode access
speed auto 10 100
no cdp enable
spanning-tree portfast

Switch B:

interface GigabitEthernet1/0/7
description K7-845
switchport access vlan 300
duplex full

Wo kann ich ansetzen?

@hegl:

vielen dank, es hat geklappt, nachdem ich wie vorgeschlagen die Peer IP's im cryptomap aufgenommen hab.

...und das, obwohl ich statt DHCP-Server, DNS-Server geschrieben habe...aber man ist ja flexibel ;)

Hi,

 

welches OS läuft auf den Clients? Windows XP SP3? Damit hatten wir in unserer Umgebung vor einiger Zeit Probleme. Das Wiso und Warum bekomme ich nicht mehr zusammen, nur soviel, dass die Clients mit XP SP2 keine Probleme hatten, die XP Maschinen mit SP3 aber sehr wohl.

Vielleicht ist das noch ein Ansatzpunkt...

 

Gruß

 

qmaestroq

Auch hier kann ich nur sagen, dass es bei uns auch absolut ohne Probleme mit XP SP3 läuft. Wie schon gesagt:wpad nach o.g. Vorlage erstellt auf einen IIS gelegt, DNS-Eintrag konfiguriert - fertig.

Clients: allesamt XP Professional mit SP3

AD: W2k und zur Zeit W2003

Wenn ich nun in der Registry den Wert setze, das die Automatische Suche über DNS laufen soll, dann funktioniert das ganze einwandfrei.

Wieso belässt du es nicht auf DNS?

Weil der Internetexplorer versucht die Datei über DHCP zu finden.

 

Wenn ich die DHCP Option rausnehme, dann findet der IE ebenfalls nichts.

Häääh, oben sagst Du, dass es läuft und unten, dass es nicht funktioniert.

Ja watt denn nu? :confused::confused::confused:

Wir arbeiten bei uns ohne irgendeinen Registry-Eintrag (welcher ist das überhaupt) und ohne die optionale DHCP-Einrichtung. Die wpad-Datei einfach auf einem IIS abgelegt und schon läuft´s.

@hegl:

was meinst du genauer?

was sollte noch konfigurieret werden? bitte commands!

 

vielleicht liegt es noch daran!

Für die Remote-ASA:

access-list outside_cryptomap_10 permit ip host Remote-ASA-outside-IP host DNS-Server 
access-list outside_cryptomap_10 permit ip <Remote-LAN> <LAN-RZ>
access-list 100 permit ip host Remote-ASA-outside-IP host DNS-Server 
access-list 100 permit ip < Remote-LAN> <LAN-RZ>

Analog musst Du natürlich dies auch auf der zentralen ASA konfigurieren.

Wenn das laufen sollte, kannst du die ACL´s natürlich auf die nötigsten Ports beschränken.

bidirektional ? kenn ich nicht...

siehe Anhang.

Könnte es - wenn es daran nicht liegt - sogar sein, dass das VPN keine Site-2-Site, sondern ein Eazy-VPN ist? Dann wäre das Verhalten normal.

Darf ich fragen, was du meinst mit zweistufig?

Erst irgendein User und PW und dann die AD Authentifizierung?

Jepp, z.B. mit RSA-Security o.ä.

So in der Art hat das Netzwerkteam das nämlich jetzt gemacht. Nur das es jetzt über Zertifikate läuft, also auf dem Rechner muss ein Zertifikat exisitieren und erst dann kann man überhaupt connecten.

Wenn aber jemand den Rechner mit den Zugangsdaten in die Finger bekommt, ist er direkt auf der AD. Deshalb die o.g. Zweifaktor-Authentifizierung.

Natürlich kannst Du die Authentifizierung auch gegen die AD machen. Das werden deine Netzwerker aber auch wissen. Warum sprichst DU nicht einfach mit denen?

Nur würde ich Dir dann auf jeden Fall eine zweistufige Authentifizierung ans Herz legen, da Du sonst mit den Credentials für die AD von außen direkten Zugriff hättest.

P.S. Vielleicht schreibst Du solch einen Beitrag zukünftig besser in den Cisco Bereich....

Prinzip ist klar, handeln wir auch so. Wusste nur Deine Aussage nicht zu deuten ;)

Wir haben keine AntiVirus Update Sourcen mehr und auch keine WSUS Update Sourcen.

Stehe gerade auf der Leitung; was meinst Du damit?