hegl

tjo, das kommt vom alten Schrott: uralt Device, uralt Software,... ;) bei alles unter 7.0 rollts mir so und so die Zehennägel auf, damit lässt es sich doch nicht arbeiten.

Zumindest beim PDM würde ich Dir da bedenkenlos zustimmen ;)

global (outside) 1 ExternalIP

Was hast Du hier als ExternalIP konfiguriert, die des interface?

Dann solltest Du statt der IP-Adresse einfach interface schreiben. Versteh´ ich zwar auch nicht, aber das Problem hatte ich mal, obwohl es ja eigentlich auf´s Gleiche hinausläuft, hat es mit der Angabe der Interface-IP-Adresse nicht funktioniert, mit Angabe interface schon.

Ansonsten sollte der dynamische NAT-Eintrag die Lösung gewesen sein.

40 Rechner in einer Location umstellen? Das ist etwas für zwischen 1200 und Mittag, die User merken nichts davon. Sorfältige Vorbereitung ist alles

Meine Rede...

Wenn ich mir mit ipconfig /all die Einträge ansehe, steht dort neben der IP Adresse aus dem VPN Netzwerk auch der DNS Server.

Das heisst aber nicht zwangsläufig, dass Du auch diesen DNS-Server abfragst. Welcher DNS-Server antwortet Dir denn auf Deine Abfragen (nslookup xyz.de).

Gibt es keine Möglichkeit unterschiedliche Mask zu betreiben und dann dazwischen irgendwie zu routen? Ich habe keine Lust auf 40 Rechnern alles zu ändern?

Und warum änderst Du die Netzmaske nicht einfach mit einem Skript?

Google müsste Dich da mit Infos zuschmeißen...

öh, cisco.com durchforsten ? Du kannst nciht ernsthaft erwarten das sich da andere durch die zig Dokus zu MIBs und Co durchgraben

Sorry, so war´s auch nicht gedacht.

Ich konnte letzte Woche durch Zufall noch mal Rücksprache mit dem Diplomanden halten. Angeblich konnte Nagios die Cisco-Mibs nicht verarbeiten....:confused::confused::confused:

...und es ist alles dokumentiert...

ich hatte damals keine Zeit mich um den Diplomanden zukümmern, zumal ich auch nicht verantwortlich war. Er saß halt nur bei mir und ich habe das alles nur so am Rande mitbekommen. Selbst habe ich mich damals nicht damit beschäftigt und wenn ja alles dokumentiert ist wäre es schön zu wissen wo, damit ich nicht lange suchen muss, um mir das einmal anzusehen.

... sowie die Windows Live Family Essentials (oder wie die heißen) gelten als recht ordentlich.

Dieser Schutz heisst Family Safety; ich setze diesen für meine Kinder ein und bin recht zufrieden - vor allem, da es kostenlos ist :p:p:p

Die Abfragemöglichkeiten waren damals sehr beschränkt, da die Mibs mit Nagios nicht kompatibel waren. Wir wollten halt etwas mehr, als "nur" einen ping-check o.ä.

Wie gesagt - wenn du Nagios hast - hast du doch alle Möglichkeiten

Hmm, gerade Richtung Cisco dachte ich immer, Nagios wäre nicht geeignet.

Wir hatten vor ein paar Jahren einen Diplomanden, der darüber seine Diplomarbeit bei uns geschrieben hat. Letzlich checken wir zwar unsere Serversysteme, aber Cisco-Komponenten sind da außen vor.

Wo gibts denn gute Info´s zu Nagios und Cisco?

Alternativ besteht die Möglichkeit, dies über VDSL2 zu realisieren - da reichen Dir zwei ISDN-Drähte.

Das hört sich nach einem klassischen "Time-Out-Problem" an.

Ist irgendeine Software installiert, die beim Starten versucht, Software zu aktualiseren oder irgendwelche Security-Geschichten zu synchronisieren.

Diese checken teilweise, ob Netzverbindung da ist und suchen dann den entsprechenden Servern, die an anderen Orten (anderen Netzen - z.B. Home) nicht erreichbar sind.

Welchen Router habt ihr bzw. welchen Provider?

Wie sollte ich vorgehen um meine DSN Konfig richtig zu testen ? oder den Fehler zu finden? NS Lookup funktioniert soweit.

Ich denke nicht, dass es mit DNS zu tun hat, die Auflösung funktioniert doch. Um Dir zu helfen, müssten wir natürlich auch die Gesamtstruktur kennen: z.B. was hängt hinter dem LAN Ausgang des Routers? Teste den Webaufruf mit wireshark und schau mal, wo da der Hänger ist.

... Da unsere Firewall dies leider nicht kann (Astaro Firewall, nur Top 10 Auflistung ist möglich) ...

Was hast Du denn da für eine Astaro? Die wir einsetzen können das alle.

Das heisst, Du fragst Deine eigenen internen DNS-Server ab?

Was meinst Du mit

Nslookup funktioniert für die Nameserver

Mal so ´ne Frage: wo ist das VPN terminiert?

Bisher habe ich noch keine Probleme feststellen können; aber ich bin gerne vorbereitet ;)

Oder hat es vielleicht was mit Active/Standby zu tun. Ich habe nämlich gleichzeitig auch neue Module eingesetzt und damit war die Redundanz natürlich kurzfristig nicht aktiv. Fragen die ASA´s sich über snmp ab?

Merkwürdigerweise habe ich die Meldung auch nur auf einer ASA erhalten, bei der zweiten nicht. :confused:

Hast du den Port evtl. nach innen "Genattet" ?

Nein, es gibt nur einzelne Hosts, die per snmp von Überwachunsgsservern abgefragt werden. Sonst fragt nur noch das Management die ASA ab.

Nach einem Update der ASA auf 8.2.2 erhalte ich folgenden Fehler

WARNING: The UDP port 161 is in use by another feature. SNMP request to the device will fail until the snmp-server listen-port command is configured to use a different port.

Habe ich das falsch verstanden, oder soll/muss ich tatsächlich den "listen-port" umstellen? Wie mache ich denn das?

Zudem wüsste ich gerne, welches feature den Port 161 verwendet.

...Aber... Wie komme ich dann nun auf die IP Range, die ich für die Hosts zur Verfügung habe? ....Laut eines Subnettingrechners ist die IP Range für das erste Netz im o.g. Bsp: 172.16.0.0 - 172.16.3.255.

 

Nur wie berechne ich das? So an sich habe ich das Subnetting ja verstanden... Aber wie berechne ich diese IP Range bei Klasse B und A...

Mfg xor

Vielleicht hilft Dir das weiter.

Ich stolpere gerade über ein Problem, welches eigentlich gar keins ist :confused::confused::confused: und mir wohl deshalb auch noch nie aufgefallen ist.

Wenn sich ein User per CISCO-VPN Client einwählt sieht er auch den internen DNS-Server des LAN´s. Die Auflösungen zu den internen Rechnern läuft auch einwandfrei.

Mittels split-tunneling greifen die Clients auch nur auf die Ressourcen im LAN zu, die für den Tunnel konfiguriert sind. Local LAN und Internet sind (direkt) erreichbar. Unter route print sehe ich, dass die IP´s des Firmennetzwerks mit der Metrik 1 gesetzt wurden - so sollte es ja auch sein.

Mache ich einen nslookup Cisco Systems, Inc oder auf eine sonstige externe Adresse meldet sich immer der interne DNS-Server mit DNS request timed out. Mittels whireshark sehe ich, dass die Auflösung über den externen DNS-Server erfolgt (was zu erwarten war, da ja Internet einwandfrei funktioniert).

Nun zu meiner Frage:Wie funktioniert das jetzt? Ist das so wie beim Eintrag Primary/Secondary DNS?

Ich selbst habe DSL mit einen analogen Festnetzanschluss.

Sorry, ich möchte Dir nichts unterstellen: Bist Du sicher, dass Du einen analogen Anschluss hast und nicht "nur" VoIP?

Hatte das mal bei einem Kumpel festgestellt, der mir auch sagte, er habe einen analogen Anschluss (weil er ein analoges Telefon hat) und DSL ... bis ich dann feststellte, er macht ausschließlich VoIP. Dann ist nämlich T.38 Fax zu aktivieren.

Also wie gesagt, hast Du wirklich den analogen Anschluss, vergiss mein Posting. ;)

bei VPN hat man halt so seine Möglichkeiten wie man das umsetzt was du möchtest, das kann man direkt an der outside ACL machen oder eben per User regeln

Welchen Ansatz nimmst Du für "per User"?

Das sind so Dinger, die mir noch unter den Fingernägeln brennen. Bis dato sage ich halt über die ACL, was das VPN-Netz darf.

Per User könnte ich es konktreter definieren.

Also die Ausgangssituation ist ja so:

 

Die DNS-Anfragen gehen alle über das Head-Quarter.

Ups, habe ich da was falsch verstanden?

Jede Aussenstelle hat eigene DNS und AD Server

Ich würde Antwort 2 und 3 sagen!

Interessante Frage. Könnt Ihr Eure Antworten auch begründen oder sind es Vermutungen?