hegl

...

Wir haben Riverbed und sind glücklich damit.

Das ist bei uns auch im Gespräch. Mir stellt sich immer die Frage: Holen dieses Kisten wirklich soviel raus? Wenn ich schon alle User an den Remote-Standorten über einen TS arbeiten lasse, lohnt sich - in Bezug auf den Performancegewinn - dann überhaupt noch derartiges?

Und Riverbed scheint auch nicht gerade ein Schnäppchen zu sein...

Habe in einem vorherigen Beitrag das Stichwort WAAS gelesen und bin hellhörig geworden. In unserer Chefetage (da wo der Blinde dem Tauben den Weg erklärt :D:D:D ) will man unbedingt Richtung Bandbreitenoptimierung tätig werden bzw. gerüstet sein.

Hintergrund ist der, dass wir neben einem aktuellen Problemfall - ca. 10 User auf einer 1,5 MBit-Leitung (mehr ist da wohl nicht zu erwarten) - noch mit 3 bis 5 weiteren deartigen Konstellationen in Kürze konfrontiert werden.

Bei Cisco habe ich Network Module für ISR gefunden Cisco Wide Area Application Services (WAAS) Network Module [Cisco Network Modules] - Cisco Systems. Gibt es keine eigene Aplliances? Was ist mit "Windows Server on WAAS"?

Hat hier jemand Erfahrung mit? Wie sieht´s mit Preis-/Leistungsverhältnis aus?

Wenn der Rechner nun ohne Netzwerk ... betrieben wird, dann sollte der Rechner eine genz bestimmte von mir vorgegebene IP-Einstellung bekommen.

Wofür soll ein Rechner, der keine Netzwerkverbindung hat, eine IP-Konfiguration erhalten :confused::confused::confused:

Hintergrund:

Auf dem XP-Rechner soll ein eigener DHCP-Dienst installiert werden, der an genau diese fest vergebene IP-Adresse gebunden ist.

Entweder gibst Du dem PC eine fixe IP, oder lässt Dir von einem DHCP-Server eine geben.

Dies kannst Du mit der "alternativen Konfiguration" erledigen. Problem hierbei ist aber, dass Du einen Timeout von ca. 30 sec hast - solange sucht der PC nach einem DHCP-Server, bevor er sich die fixe IP nimmt.

Wenn die Rechner dagegen einfach zu einen eigenen Netz zusammengesteckt werden, soll der Rechner, da er keine Adresse von einem DHCP-Server bekommt die festgelegte IP-Adresse verwenden und damit selbst als DHCP-Server in diesem kleinen Netz fungieren.

Hääää? Wie oben gesagt ist die Lösung die "alternative Konfiguration"

deinstalliere die netzwerkkarte, starte neu und installiere/konfiguriere die karte neu

Ich habe mir gerade den Client von der angegebenen Ressource installiert und die Logon-Option ist vorhanden.

Hattest Du den alten Client vorher deinstalliert und den PC danach neu gestartet?

Mhmm, dort sind nur Linux-Versionen.

Unter "Cisco vpn client without config file" der erste Link ist garantiert nicht für Linux oder suchst Du einen AnyConnect-Client?

Wichtig ist bei DHCP-Relay via VPN, dass die outside-IP der Remote-ASA mit in die crypto-map und die ACL aufgenommen wird.

Mhmm, wie komme ich jetzt an die Menue-Punkte. Andere Version downloaden von wo, Installationsdatei bearbeiten?

Versuchs mal hier: Cisco VPN and ASA VPN (AnyConnect) client downloads

Also ich gehe mal davon aus, dass Du eine VPN-Verbindung zum Router herstellen möchtest (oder an welcher VPN-Verbindung des Routers willst Du Dich anmelden)?

Entweder nimmst Du hier die lokale User-Authentifizeirung des Routers, oder verwendest einen Radius-Server (bevorzugt).

Ich nutze selbst den von Dir beschriebenen Client und unter Options\Windows Logon Properties kannst Du angeben, ob Du vor der lokalen Anmeldung am Rechner das VPN aufbauen möchtest. Wenn Du dies aktivierst, hättest Du nach erfolgreicher Authentifizierung natürlich direkt die Möglichkeit, Dich an der Domäne anzumelden. Aber wozu soll das gut sein? Ich melde mich mit meinen Domän-Credentials lokal am Rechenr an, baue - wenn notwendig - dann die VPN-Verbindung auf und bin anschließend auch direkt auf der Domäne.

Wenn Du aber die Option nicht hast, ist entweder die Installationsdatei vorher bearbeitet worden (wir deaktivieren zB immer die integrierte Firewall) oder bei der Installation ist irgendwas schief gelaufen.

Sorry, aber für mich sprichst Du in Rätseln

ich sitze hier vor einem Cisco-Router.

Und?

Ich möchte, dass die Anmeldung an das VPN durch den Client erfolgt, BEVOR die Domainanmeldung stattfindet.

An welches VPN?

Wenig gesucht, Lösung sofort gefunden: Unter den Optionen gibt es die Möglichkeit das so einzurichten. Habe auch schon den Screenshot gesehen.

Welche Lösung hast Du denn gefunden? Wo ist denn der Screenshot?

Bei meinem aktuellen Cisco-Client fehlt genau dieser Menuepunkt!

Tja, zum Vergleichen benötigen wir nun den Screenshot und welche Client-Version Du verwendest.

Was läuft da schief? Hat jemand einem Tipp?

Gib uns ein paar mehr Infos und Dir kann bestimmt geholfen werden.

P.S. Warum setzt Du die Frage nicht unter die Rubrik CISCO?

Für 50 User solltest Du bei Astaro zu der ASG 220 greifen. Grundsätzlich ist das so ´ne eierlegende Wollmilchsau, d.h. sie deckt eigentlich alles ab. Die Wahl ist wohl auch von Deinem Budget abhängig: Watchguard kenne ich nicht, aber bei Astaro müsstest Du für die HW € 1275,- und für die einzelnen Subscriptions incl. Premium-Support € 3130,-/Jahr bzw. € 7550,-/ 3 Jahre bzw. € 11335,-/ 5 Jahre veranschlagen --> offizielle End-User-Pricelist. Ich bin mir aber nicht sicher, ob dazu auch noch für jeden VPN-Client (NCP) eine Lizenz fällig ist; so war´s jedenfalls vor der Änderung des Lizenzmodells.

Bin auch zurück gegangen - wieder alles vorhanden :)

So hatte ich es bisher auch gesehen, wenn ich nicht gestern darüber Cisco ASA 5500 Series and PIX 500 Series Security Appliance Hardware and Software Compatibility [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems gestolpert wäre...

Ich hatte gestern bei Cisco gelesen, dass 6.3.1 empfohlen wird und habe Sie leichtsinnigerweise ohne Test aufgespielt.

Ok, grundsätzlich ja kein Problem, ist ja auch schnell rückgängig zu machen.

Nein, selbst die 6.2.5 war ok

Ich habe gestern für die laufende ASA version 8.2(2) - wie von CISCO empfohlen - den ASDM 6.3(1) installiert. Ziemlich verschreckt habe ich festgestellt, dass verschiedene service-groups in der Anzeige des ASDM plötzlich leer waren. Über die CLI sind diese aber zum Glück nicht leer.

Dies betrifft ausschließlich die service-groups, bei denen ich nicht explizit tcp, udp oder tcp-udp angegeben habe.

object-group service XYZ_Ports

service-object tcp http

service-object udp domain

Eine derartige Gruppe erscheint im ASDM als "empty".

Kennt jemand das Problem?

und dein user wird dann wohl level 3 verpasst bekommen würd ich jetzt mal tippen :)

Jepp, so ist es ;)

privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command packet-tracer
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server

->

ASDM 5.2 User Guide - Configuring Device Access [Cisco Adaptive Security Device Manager] - Cisco Systems

 

beim AAA zu konfigurieren, nicht beim user selbst

Danke, funktioniert ;)

Wie stelle ich am einfachsten für einen (lokalen) User Leserechte im ASDM ein, d.h er soll "nur gucken, nicht anfassen" :D:D:D

Ich habe einen User mit level 2 angelegt, dieser kann aber trotzdem ACL´s ändern. Und genau das möchte ich vermeiden.

Iss ja mal wieder typisch: bis jetzt ist der Fehler nicht mehr aufgetaucht :confused::confused::confused:

Ich habe hier ein frisch installiertes System (unsere Standardinstallation, wie es jedes NB hat), wo genau dieses Problem auftritt. Mein NB, allerdings ein anderes Modell, ist SW-mäßig gleich installiert und ich habe diese Problematik nicht.

Standardmäßig ist bei uns im IE die autom. Suche aktiviert und im LAN arbeiten wir mit wpad.

DAP ist nicht konfiguriert, habe ich mich noch nicht mit beschäftigen können...

Werde mal Deinem Vorschlag folgen und im Client debuggen, vielleicht sieht man da ja wirklich was. Eventlog ist sauber.

Nein, dass sind unsere MA . Die NB sind Mitglied einer AD.

Wir geben bei der VPN-Client-Einwahl die Proxy Server Policy " Do not use proxy" mit. Hat da jemand Erfahrungen mit und weiß, wie zuverlässig dies ist? Wir stellen immer häufiger fest, dass die entsprechende Einstellung bei manchen Notebooks im IE mal gesetzt wird und mal nicht; bei anderen NB funktioniert es dagegen immer einwandfrei - bei gleichen Software-Versionen!

Dein Problem ist die automatische Metric, die bei der Netzwerkkonfiguration standardmäßig aktiviert ist. Mittles route print siehst Du das routing, welches dadurch gekennzeichnet ist.

Im folgenden Artikel How to change the binding order of network adapters in Windows XP and in Windows 2000 kannst Du die Werte entnehmen. Hier wird deutlich, dass i.d.R. LAN immer vor UMTS geht. Entweder Du manipulierts nun die Metric unter Netzwerk\Eigenschaften des Netzadapters\Internetprotokoll(TCP/IP)\Eigenschaften\Erweitert und hebst dort die autom. Metrik auf oder versuchst es einfach einmal über Netzwerkverbindungen\Erweitert\Erweiterte Einstellungen\Netzwerkkarten und Bindungen und setzt da den UMTS-Adapter an die erste Stelle (dies aber nur, wenn der UMTS-Adatper als LAN gekennzeichnet ist (neuere Versionen) und nicht als DFÜ.