hegl

Gestern abend wurde ich an meiner privaten PC-Hotline :D mit einem merkwürdigen Problem konfrontriert. Mit jedem Seitenaufruf im IE verändert sich die Größe des Browserfensters, d.h. das Fesnter wird immer kleiner. In der Praxis sieht das so aus, dass der untere Rand sich nach oben schiebt. Verändert man dann manuell die Größe des Fensters und klickt dann wieder auf maximieren, wird die Einstellung auch übernommen. MIt jedem Klick wird das Fenster aber wieder kleiner. Was kann ich tun, außer den Ratschlag zu Firefox zu geben?

Na dann hoff´ich mal, dass ich das noch gedreht kriege. Thx

Das wollte ich wissen: die Kommunikation läuft über WebVPN. Richtig? Gut das ich gerade Lizenzen geordert habe...

Was heisst das jetzt im Detail? Brauche ich den ISA mit zweiter NIC? Wenn nicht, gibt´s irgendwo Infos, wie ich was zu konfigurieren habe?

Erst einmal bin ich mir nicht sicher, ob dieses Thema hierhin gehört oder eher ins MS Backoffice. Aber schau´n wir mal. Bei uns soll nun auch Sharepoint eingesetzt werden. Ich habe erst davon erfahren, als das Kind in den Brunnen gefallen war. Was mich nachdenklich stimmt ist die Aussage der ausführenden Firma, dass ich auf der Firewall eigentlich gar nicht viel zu machen brauche, da der dafür ins Leben gerufene ISA-Server alles erledigen würde. Heisst also praktisch, dass der ISA-Server in der DMZ eine zweite NIC erhält, die dann ins LAN eingebunden wird. Grund ist wohl die Tatsache, dass der ISA-Server Mitglied der LAN-Domäne sein muss und MS die Funktionalität anders nicht gewährleistet. Dies bedeutet dann, dass die ASA umgangen wird und lediglich der Zugriff von außen auf den ISA-Server konfiguriert werden muss. Ok, der ISA ist auch ein Firewallsystem, aber viele Köche verderben den Brei. Was haltet Ihr davon? Hat da schon jemand Erfahrung mitgemacht?

AD 2000/2003/2008 ? Ich habe mal irgendwo gehört, dass es z.B. bei migrierten NT-Domains zu solchen Problemen kommen kann.

A) Habe ich auch noch nie gehört. Das Einzige, was ich gefunden habe ist dies: Provides advanced security services for GTP/GPRS 3G Mobile Wireless environments. B) Advanced Endpoint Assessment includes all of the Endpoint Assessment features, and lets you configure an attempt to update noncompliant computers to meet version requirements. Was es aber jetzt im Detail beinhaltet, kann ich Dir auch nicht sagen.

Ich denke mal, dass man Deine Frage so nicht direkt beantworten kann. Dazu müsste man die Struktur des WLAN´s kennen, d.h. wer da wie mit wem zusammenspielt. Macht der IAS "nur" die Authentiction? Spielt sich das ganze in einer AD ab? Um welche AD handelt es sich? Sind vielleicht noch Zertifikate im Spiel? Weiterhin hast Du nicht verraten, wann das Problem auftritt. Nach dem booten bzw. nach der Anmeldung. Was ist wenn der Client bereits lokal arbeitet, dann WLAN aktiviert wird und der Client sich sofort am IAS anmeldet? Ist es ein Unterschied, wenn er sich nicht direkt authentifiziert. Worauf ich hinaus will ist, wann wird die DHPC-Adresse zugewiesen?

Eine Unbekannte scheint aber trotzdem die Qualität der Stromleitungen zu sein. 40-50 MBPS habe ich mit Devolo über die Phasenverschiebung. Aber wie Du schon sagtest: der Flaschenhals bleibt der DSL-Anschluss. Wer einen fetten DSL-Anschluss hat, sollte m.E. dann auch auf die bessere und damit teurere HW - nämlich Devolo - setzen. Eine endgültige Aussage kann man aber erst beim Vergleich unter gleichen Bedingungen treffen. Aber für uns bescheidenen Home-User muss es nicht immer das Beste sein ;)

Ui,ui ui, heikles und heisses Thema. Verbrenn´ Dir da mal nicht die Finger und schalte in jedem Fall, die Personalabteilung, den Betriebsrat sowie den Datenschutzbeauftragten ein.

ASA Version? Mal logging eingeschaltet? FTP über Client oder CLI?

Und schon wieder was dazu gelernt ... ...aber auch schon wieder bestätigt bekommen, dass der PDM einfach nicht zu empfehlen ist.

Bei der ASA geht das über den ASDM ganz easy, vielleicht testet Du es bei der PIX mal mit dem PDM: P.S. Habe niemals gedacht, dass ich mal jemandem rate mit dem PDM zu arbeiten :cool::cool::cool:

Grundsätzlich ist das überhaupt kein Problem, aber aus Sicht der Security sollte man so etwas nicht tun. Meines Erachtens soltte die VPN Einwahl strikt getrennt sein von der Domainauthentifizierung.

Oder schau hier: PIX/ASA 7.x PIX-to-PIX Dynamic-to-Static IPsec with NAT and VPN Client Configuration Example - Cisco Systems Ich habe zwar im Moment den ASDM zur Hand, jedoch sollte dies auch dort über den Wizzard ohne weiteres möglich sein.

Jepp, hast ja recht, hatte Dich falsch verstanden. :o Egal jetzt, ich werde das - wenn ich ein wenig Luft habe - nachstellen und dann berichten.

Grundsätzlich stimme ich Dir zu, aber bei RA sollte die Sequenz-Nr. immr die höchste sein. Sieht man eigentlich auch daran, dass der ASDM automatisch die 65535 vergibt - bei Einrichtung über den VPN-Wizzard. Als ich bei der PIX noch alles über die CLI konfiguriert habe, bin ich damit mal uf die Nase gefallen, als ich für RA eine niedrigere Sequenz angegeben hatte als für eine L2L. Da funktionierte RA nämlich eher gar nicht.

Hmm, m.E. hat diese Sequenz-Nr. nichts mit einer Priorität zu tun - oder irre ich da? Bei der isakmp-policy spielt die Sequenz-Nr. doch eine Rolle, z.B. für RA. GNS3 habe ich (noch) nicht im Einsatz, werde wohl auch mal damit rumspielen müssen....

Wir müssen von einer Aussenstelle, deren traffic komplett in den Tunnel zur Zentrale geschickt ird, einen weiteres VPN zu einem Partner aufbauen. Da dies auschließlich von der Aussenstelle benötigt wird, möchte ich den Tunnel auch von dort aufbauen und kein Hub and Spoke über die Zentrale. Was ich nun nicht mehr weiß ist, wie das jetzt prioritätsmäßig abgehandelt wird. Bist dato habe ich ja nur eine ACL mit any. Wenn ich nun einen weiteren Tunnel aufbauen möchte und für den Zugriff ins Netz A.B.C.D eine ACL erstelle, wie entscheidet die ASA, dass dieses Netz auch über den entsprechenden Tunnel erreicht wird und nicht über den Tunnel zu unserer Zentrale?

Dann schau Dir mal die Meldungen im log-viewer über den ASDM an und setzte mal die modul-size auf 768 runter.

Hast Du die outside-IP der ASA mit ins VPN aufgenommen? Daran bin ich mal verzweifelt :cool:

Checke doch erst einmal, ob der Läppi wirklich mit dem AP / DSL-Router verbunden ist. Ohne irgendeine Einstellung vorgenommen zu haben, glaube ich nicht wirklich, dass dem so ist.

Versuche doch übers logging auf dem ISA etwas rauszufinden.

Schon mal darüber nachgedacht, dass da der Hund begraben liegt? Was sagt denn ein tracert zu Google im Gegensatz zu den funktionierenden Clients?

Wie du hast ´ne zweite NIC in dem Rechner? Vielleicht erläuterst Du mal genau, wie was konfiguriert ist!